Inhaltsübersicht

• Die Tracking-Studie des Wallstreet Journals
• Die Tracking-Funktionalität des Like-Buttons
• Behavioral Targeting: Was ist eigentlich so schlimm an "benutzerbezogener Werbung"?
• Die nächste Stufe: Gezieltes Verändern von Gewohnheiten
• Spuren beim Webmaster / Website-Betreiber
• Spezialfall Suchmaschinen
• Geolocation Dienste
• Cookies, Flash Cookies, Webpixel, (Google-)Analytics, Fingerprints und andere Tracking Tools
• Das Problem Smartphone Apps
• Tracking des Benutzers beim Mail-Lesen
• Spuren beim Internet-Provider
• Behavioral Targeting beim Internet-Provider
• Spuren auf dem Rechner des Internetnutzers
• Eigenhändig erzeugte Spuren und Reputation Management
• Vorsicht bei Nick-Names und Pseudonymen
• Das Internet als Echo-Service
• Software-as-a-Service
• Schutzmöglichkeiten gegen Tracking
• Weiterführende Informationen

 

Ihre Datenspuren im Internet

Stand Jan. 2013 - Autor: Philipp Schaumann

Ursprünglicher Anlass für diesen Artikel war eine andere Website. Dort berichtete jemand, dass ihm aufgefallen sei, dass jemand mit der IP-Adresse einer sehr katholischen Einrichtung auf seine Website gekommen ist, und zwar 'über Google-Image-Suche mit den Suchbegriffen "gay, dreams" oder "usa, gay"' (diese Information wird im sog. Referrer berichtet). Und das hat den Autor des Blogs verblüfft. Ebenso verblüfft wäre bestimmt auch der betroffene Internetnutzer, was da so alles im Internet über ihn offen gelegt wird.

[Natürlich spricht überhaupt nichts dagegen, dass Mitarbeiter einer katholischen Organisation homosexuelle Interessen haben, auch wenn ihr großer und viele ihrer kleineren Chefs heftig gegen so etwas wettern, dafür kann der Mitarbeiter ja wohl nichts (niemand ist für das Verhalten seiner Chefs verantwortlich)].

Das war für mich der Anlass, den technischen Hintergrund dieser Geschichte zu erläutern und einmal ganz systematisch zusammenzustellen, welche Spuren beim Surfen im Internet so alles hinterlassen werden.

Eine Darstellung, welche der meistbenutzten Webseiten im Internet welche Daten ihrer Benutzer weiterverkauft - durch Klick kommt man zur Orginaldarstellung und dort kann man auch einblenden, welche anderen Sites untersucht wurden und die Daten nur selbst nutzen. - Quelle: Wallstreet Journal

Worum geht es eigentlich beim Tracking von Anwendern im Internet?

Häufiges Ziel der Sammlung und Auswertung der Daten die bei der Nutzung des Internets hinterlassen werden ist das Erstellen von Internet-Nutzungs-Profilen. Die Techniken die dafür verwendet werden laufen unter dem Namen Data Mining. Solche Profile können nicht nur dafür verwendet werden, Werbung gezielt zu platzieren (was man ja erst mal noch nicht als schlimm ansehen muss), sie können für Diskriminierung eingesetzt werden.

D.h. jemand der durch die Auswertung seines Internet-Nutzungsverhaltens als jemand erkannt wurde, bei dem Geld "vergleichsweise locker sitzt", der bekommt bestimmte Sonderangebote gar nicht erst angezeigt ("discriminatory prizing"). Amazon hat vor einigen Jahren angeblich in diese Richtung experimentiert und nach Protesten von Nutzern diese Aktivitäten wieder aufgegeben.

Eine weitere Gefahr solcher Nutzerprofile ist, dass einer bestimmten Bevölkerungsgruppe bestimmte Informationen vorenthalten werden. Zusätzlich lassen sich Daten die Benutzer im Netz hinterlassen, auch für kriminelle Zwecke einsetzen, z.B. für Erpressungen, oder auch zur Unterstützung anderer krimineller Aktivitäten, wenn z.B. Abwesenheitsnachrichten auf Twitter oder im Social Networking für die Planung von Einbrüchen eingesetzt werden (please rob me.com).

In den USA entsteht bei den Wahlen 2012 eine Diskussion auf Grund der Tatsache, dass die Websites der beiden Kandidaten jede Menge Trackingfirmen engangiert und die sammeln, wer auf den Websites war. Es geht darum, dass diese Besucher dann auf anderen Websites Werbung für den Kandidaten sehen (das nennt man "Retargeting" und ist eine heute übliche Werbetechnik. Beim Besuch der Website der Firma die diesen Dienst in Anspruch nimmt wird ein Vermerk gesetzt und wenn der gleiche Surfer dann auf einer anderen Website Werbung sieht, so ist die "zufällig" von der gleichen Firma die der Surfer eben besucht hat). Die Angst in den USA ist, dass diese Tracking-Firmen diese Daten zu den politischen Orientierungen mit ihren anderen Daten vermischen und dass dann irgendwann nicht nur die Werbung von diesen Daten abhängt, sondern auch der Job bei der Jobsuche.

Weiter unten berichte ich über einen anderen negativen Effekt des Trackings, nämlich dass dadurch das Internet zu einem Echo-Service wird indem ich mehr oder weniger nur meine eigenen Ansichten vorfinde.

Doch nun erst mal dazu, wie und wo diese Daten als Grundlage für Benutzer-Profile überhaupt entstehen.

Die Tracking-Studie des Wallstreet Journals

August 2010: Wie das Wallstreet Journal (WSJ) in einer sehr gründlichen Studie The Web's New Gold Mine: Your Secrets darlegt, erlauben die heute angebotenen Technologien es Unternehmen die mehr über ihre Website-Besucher wissen möchten eine ziemlich genaue Einschätzung. Dadurch können sie z.B. Anzeigen nicht nur dort platzieren, wo sie hoffen, dass die gewünschte Zielgruppe diese sieht, sondern die Werbeeinschaltungen ganz gezielt auf jeden einzelnen Betrachter zuzuschneiden. D.h. wenn heute 2 Anwender auf eine Website gehen, so sehen sie mit einer sehr hohen Wahrschneinlichkeit dort unterschiedliche Werbung. Und wenn die Werbung dann überraschend nahe an den Interessen der Betrachter liegt, sie ist das alles andere als ein Zufall.

Das Wallstreet Journal hat einen Spezialisten gebeten, mit einem spezell präparierten PC die 50 meistbesuchtesten Website zu besuchen (diese 50 Websites repräsentieren 40% der Internetnet-Nutzung des Durchschnittsamerikaners). Der PC hatte danach 3180 Tracking-Objekte (Cookies und anderes, siehe der Rest des Artikels). Mehr als 2/3 davon wurden von 131 Werbe-Unternehmen dort platziert um möglichst viele Details über das Wünsche, Bedürfnisse und Interessen der Besucher zu erfahren und möglichst detaillierte Profile zu erstellen. Diese Profile ergeben sich aus der Tatsache, dass jede dieser Unternehmen versucht, den gleichen Benutzer auf vielen verschiedenen Websiten zu finden. Und auf jeder dieser Webseiten wird notiert, welche Themen dort behandelt werden.

Wer also z.B. auf dictionary.com etwas über eine bestimmte Krankheit nachliest, dann in der Zeitung über einen bestimmten Künstler oder über eine Klasse von Autos, über Bücher, Filme, etc., so wird aus diesem Rohdaten, unter Nutzung der Ortsbestimmung über die IP-Adresse (siehe weiter unten) und den Daten der statistischen Ämter über typische Einkommensverteilungen an diesen Orten ein recht detailliertes Profil zusammengestellt. Auch können die Profile der Kontakte dieser Person in Social Networks zur Profilierung genutzt werden ("gleich und gleich gesellt sich gern"). Dieses Benutzerprofil hat natürlich keine Garantie auf Korrektheit, aber es liegt in der Beschreibung der Person in aller Regel deutlich besser als eine zufällige Platzierung von Werbung.

"From a single click on a web site, [x+1] correctly identified Carrie Isaac as a young Colorado Springs parent who lives on about $50,000 a year, shops at Wal-Mart and rents kids' videos. The company deduced that Paul Boulifard, a Nashville architect, is childless, likes to travel and buys used cars. And [x+1] determined that Thomas Burney, a Colorado building contractor, is a skier with a college degree and looks like he has good credit." . . . "[They] know that her favorite movies include "The Princess Bride," "50 First Dates" and "10 Things I Hate About You." It knows she enjoys the "Sex and the City" series. It knows she browses entertainment news and likes to take quizzes."

Was das WSJ darstellt ist ein eng verwobenes Netz von Firmen (Tracking Ecosystem), die verschiedene Rollen bei dieser Erstellung und Nutzung von Benutzerprofilen spielen. Das kann dann z.B. so ablaufen: Da gibt es die Firmen, die die Cookies und andere Tracking-Instrumente auf den Webseiten platzieren lassen. Diese Rohdaten werden dann mit anderen Informationen, z.B. Statistikdaten zum Wohnort zusammengeführt und das so erstellte Profil wird dann über "data exchanges" verkauft (bzw. innerhalb von Bruchteilen von Sekunden automatisiert versteigert). Das muss man sich so vorstellen, dass eben ein Benutzer auf einer Website eine seltene Krankheit recherchiert hat, deren Behandlung sehr teuer ist, oder die sehr oft berufsbedingt ist. Die Tracking-Firma bietet den Kontakt zu dieser virtuellen Person (virtuell, weil weder Name noch Anschrift oder ähnliches bekannt ist) an. Dafür interessieren sich Anwaltsfirmen (die dann eine Klage gegen den Arbeitgeber anbieten), Arzneimittelfirmen und Gesundheitsdienstanbieter. (Die Liste der in der Network Advertising Initiative zusammengeschlossenen Anbieter findet sich hier, zusammen mit jeweils Opt-Out Möglichkeiten. Aber weiter unten beschreibe ich alternative Optionen gegen das Tracking.

Aktualisierung Juli 2011:
Eine Studie des "Stanford Center for Internet & Society" Tracking the Trackers zeigt leicht erschreckendes zur Ehrlichkeit dieser Firmen. Die in dieser Initiative zusammengeschlossenen Firmen bieten an, dass sie dem Benutzer eine Opt-Out Möglichkeit geben, damit er die benutzer-bezogene Werbung abstellen kann. In der Studie wurden 64 Mitgliederfirmen untersucht. 33 davon lassen auch nach dem Opt-Out weiterhin Cookies auf dem Rechner des Benutzers, 8 ignorieren die Benutzerentscheidung, der sie sich freiwillig unterworfen haben, komplett. Damit verstoßen 12,5% gegen ihre eigenen Datenschutzerklärungen (24/7 Media, Adconion, AudienceScience, Netmining, Undertone, Vibrant Media, Wall Street On Demand und TARRGUSinfo. Google gehört diesmal zu den Guten, sie löschen alle Cookies. Die Details finden sich im Link zur Standord University.

Die Firmen die entsprechend Geld zahlen bekommen übermittelt, wie dieser Benutzer mit diesem Profil an Hand seines Cookies erkannt werden kann, falls er oder sie auf einer anderen Website dieser Firmen auftaucht, sofern sie von der gleichen Tracking-Firma betreut wird. Und in dort wird dann eine gezielte Werbung geschaltet, die konkret auf die Krankheit des Nutzers eingeht. Das ganze ist letztendlich mehr oder weniger anonym. Der Name des Nutzers und die genaue Adresse werden nicht übermittelt, könnten aber mit etwas Mühe in vielen Fällen ermittelt werden. Siehe dazu meine anderen Artikel zu Data Mining und Anonymität.

Die NY Times berichtet dazu ebenfalls im August 2010, dass sich diese Techniken ja nicht auf das Internet beschränken müssen. So testet I.B.M. ein System nahmens Presence, bei dem einem Kunden beim Betreten eines Geschäfts ein "coupon" auf das Handy gesendet wird. Dieser elektronische Coupon enthält das Profil des Benutzers, z.B. codiert in einem 2-D Barcode. Und da kann neben dem Wohnort und dem vermuteten Gehalt und Beziehungsstatus z.B. auch drinstehen, was der Kunde mit der höchsten Wahrscheinlichkeit in diesem Laden kaufen wird (weil die Tracking-Firma weiß, was der gleiche Kunde gestern in Google gesucht hat).

November 2010: Social Networking Content Scraping
Das Wall Street Journal hat sich einen der Datensammler genauer angeschaut, nämlich RapLeaf Inc. Diese Firma hat das Sammeln von persönlichen Daten noch ein Stück weiter vorgetrieben. Es wertet dafür Social Networking Websites, Diskussionsforen und ähnliches inhaltlich aus und schaut auch, welche Art von Websites die Leute besuchen. Dabei kommen Profile heraus, wie auf diesem Link zu sehen. Es finden sich so interessante Details wie

"age 55+, married, income $125k-$150k, political view liberal, Member of over 5 Shopping Sites, Highly Likely To Buy Satellite Dish Within Next 90 Days, Moved Within Last 6 Months, visits adult entertainment, highly likely to retire next year, religion, gambling, tobacco, hobbies, etc."

Dieses Profil verknüpft die Firma mit der Email-Adresse der Person (die ja sehr oft auf den Namen schließen lässt - diese Verknüpfung eines Website-Besuchers mit seiner Email-Adresse ist ja auch der Grund, warum man sich auf so vielen Zeitungsseiten registrieren muss).

RapLeaf behauptet, nur das Profil, aber nicht die Email-Adresse an seine Kunden weiterzugeben. Sie bieten aber sehr wohl einen Service wo ein Unternehmen die Email-Liste seiner Kunden an RapLeaf übermittelt und dann sehr wohl die Verknüpfungen mit dem Profil zurückbekommt. RapLeaf sagt, sie hätten über 1 Milliarde Profile mit dazugehörigen Email-Adressen. Und wenn RapLeaf nicht die Email-Adressen weitergibt, so haben sie jedoch bereits die Facebook-IDs und die MySpace-IDs der Personen in ihrer Datenbank weitergegeben, aus denen sich noch sicherer auf die wirkliche Identität schließen lässt.

Jetzt könnte man sagen, na ja, das ist eben Amerika und in Europa wäre das illegal. Stimmt. Noch. Andererseits sammeln die amerikanischen Unternehmen auch über die Europäer diese Daten (zumindest soweit sie US-Websites besuchen, so wie ich z.B.). Ich fürchte, dass auch in Europa ein Gewöhnungseffekt eintreten wird und dass es irgendwann nicht mehr als bedenklich betrachtet wird, solche Profile zu sammeln und zu verkaufen.

Nachdem das Wall Street Journal RapLeaf kontaktiert hat haben sie Besserung gelobt. So wollen sie z.B. die Facebook-IDs in ihren Profilen löschen. Das steht in einem Artikel Entwickler verkauften Facebook-Nutzerdaten wo es darum geht, dass Facebook-Profile zum Kauf angeboten wurden. Und so geht es immer weiter. Es gibt reichlich Menschen ohne Skrupel, der eine oder andere fliegt auf, gelobt Besserung und das Leben geht weiter. Wirklich problematisch wird es wenn solche Profile dubioser Qualität (denn war benutzt den Rechner noch alles?) auch über die berufliche Zukunft bestimmen, wie ich an anderer Stelle berichtet habe.

November 2010: EU will Werbung im Internet an den Kragen
Die neue Futurezone bringt einen recht guten Artikel über Initiativen des EU-Parlaments gegen zielgruppenbezogene Werbung: EU will Werbung im Internet an den Kragen. Behavioural Advertisement soll künftig nur mit Einwilligung der Nutzer erlaubt sein.

Februar 2011: Initiativen gegen das Tracking
Evtl. durchaus auf Grund der Wallstreet Journal Aktivitäten gibt es jetzt in den USA eine Bewegung bei den Aufsichtsbehören (hauptsächlich FTC, Federal Trade Comission, die Wettbewerbsbehörde) in Richtung Kontrolle der Benutzer über das Tracking. So fordert die FTC dass zukünftige Browser die Möglichkeit des Blockens bereits im Kern enthalten. MS Internet Explorer 9 enthält bereits diese Funktionalität und Internet Explorer 8 hat mit InPrivate-Surfen auch bereits Kontrollmöglichkeiten (rechts unten im Randbereich neben dem 110% Text). Für Firefox gibt es zahlreiche Plug-Ins, z.B. Adblock Plus.

Die Tracking-Funktionalität des Like- / Gefällt mir-Buttons

März 2011: Facebook hat gerade die Funktionalität des Like / Gefällt-mir Buttons deutlich erweitert. Der Button setzt jetzt bereits durch seine blose Anwesenheit auf einer Website einen Tracking-Cookie bei allen Besuchern der Website, egal ob Facebook-User oder nicht. Dies gibt Facebook noch weit mehr Hintergrund-Informationen über ihre Benutzer und auch Informationen über Nicht-Nutzer.

heise.de berichtet Was Facebooks Gefällt-Mir-Buttons verraten. Der Artikel ist sehr informativ, zeigt, was die reine Anwesenheit des Buttons auf einer Website bereits tut und zeigt auch einen Weg für Webmaster die die Privatsphäre ihrer Kunden respektieren möchten, wie sie die Funktionalität trotzdem anbieten können (wenn auch einen kleinen Schritt umständlicher, aber dafür fair für alle Besucher).

Aktualisierung Dez. 2011:
Hier jetzt ein Artikel zur Problematik der Like-Buttons von Facebook, die beim reinen Betrachten einer Seite ohne dass man Like gedrückt hat, bereits ein Surfprofil erstellen: Facebooks Schutzbehauptung. Zitat:

". . . eine Beschreibung des Grundproblems: Wenn ich eine Spiegel-Seite aufrufe oder die Fan-Seite von Hannover 96 oder irgendeine andere Seite mit Facebook-Elementen, bekommt Facebook die Information, dass ich, Jürgen Schmidt, diese konkrete Seite gelesen habe. Da Facebook-Buttons quasi omnipräsent sind, kann Facebook eine komplette Liste aller Websites erstellen, die ich besuche und diese mit meiner Person verknüpfen – einer Person, deren Namen, Adresse, Vorlieben und Freunde es kennt".

Und dann gibt es einen Verweis auf Spiegel und einen Artikel zum Identitäts-Cookie: Facebook rechtfertigt seine Datensammelei. Facebook 'versichert auf SPIEGEL ONLINE: "Die Informationen über Seitenbesuche - ganz gleich ob bei eingeloggten oder nicht-eingeloggten Nutzern - werden nicht fürs Werbetargeting verwendet. Wir nutzen diese Informationen nur für die Sicherheit."'

So geht's übrigens richtig, wenn ein Website-Betreiber den Datenschutz respektieren möchte: 2 Klicks für mehr Datenschutz. Mit dem ersten Klick bestätigt der Benutzer, dass er zu Facebook möchte und erst dann wird der aktive Like-Button mit seinen Javascript Tricks gezeigt.

Behavioral Targeting: Was ist eigentlich so schlimm an "benutzerbezogener Werbung"?

Werbefirmen sagen, dadurch dass sie die Interessen der Besucher kennen wird aus der Werbung wertvolle Information. Ganz so einfach ist es jedoch nicht, siehe hier:

"Yahoo's network knows many things about recent high-school graduate Cate Reid. One is that she is a 13- to 18-year-old female interested in weight loss. ... Yahoo's take on Ms. Reid, who was 17 years old at the time, hit the mark: She was, in fact, worried that she may be 15 pounds too heavy for her 5-foot, 6-inch frame. She says she often does online research about weight loss. "Every time I go on the Internet," she says, she sees weight-loss ads. "I'm self-conscious about my weight," says Ms. Reid, whose father asked that her hometown not be given. "I try not to think about it…. Then [the ads] make me start thinking about it."

Und an dieser Stelle wird es dann unangenehm. Heute wird es immer mehr üblich, auch krankheitsbezogene Informationen in die Profile aufzunehmen. Einige der Tracking-Firmen behaupten, dass sie Interesse an Stichworten wie HIV/AIDS, Geschlechtskrankheiten, Ess-Störungen und Impotenz nicht tracken. Trotzdem werden Diät-Anzeigen gezielt auch Minderjährigen gezeigt, die entsprechende Interessen zu haben scheinen.

Jemandem, der an Anorexie leidet, ständig mit Diät-Anzeigen zu bombardieren, ist für mich klar un-ehtisches Verhalten. Was mich beunruhigt ist, dass der Rest der Gesellschaft dieses Bombardement gar nicht sieht, auf den gleichen Websites sehen die anderen Benutzer vergleichsweise harmlose Werbung.

Aber es wird über diese Nutzerprofile nicht nur entschieden, welche Werbung ein Anwender sieht. Unternehmen die Kreditkarten anbieten nutzen diese Profile um zu entscheiden, welche der verschiedenen Angebote diesem potentiellen Kunden gezeigt werden, genaus Besucher auf Websites auf denen Autos verkauft werden. Das ist soweit noch OK, solange den Kunden das Gesamtangebot trotzdem zur Verfügung steht. Theoretisch möglich (und nur schwer beweisbar wenn es stattfindet) ist auch eine differenzierte Behandlung, z.B. Ablehnung eines Kredits weil die IP-Adresse des Besuchers auf eine Gegend deutet, die zu den schlechteren Gegenden einer Stadt gehört oder weil die meisten der Kontakte dieser Person in Social Networks wie Facebook einer ärmeren Gesellschaftsschicht zugeordnet wurden.

Hier ein leicht erschreckendes Beispiel aus einem amerikanischen Artikel - jemand berichtet dort:

..... one of the reasons American Express gave for lowering his credit limit: "Other customers who have used their card at establishments where you recently shopped have a poor repayment history with American Express."

Das ist die Umkehrung von "andere Kunden die dieses Produkt kauften haben auch folgende Produkte gekauft" in "sie kaufen in den falschen Geschäften ein, wir reduzieren ihr Kreditlimit". Ein weiterer Artikel You for Sale: Mapping, and Sharing, the Consumer Genome sagt:

. . . privacy advocates say they are more troubled by data brokers’ ranking systems, which classify some people as high-value prospects, to be offered marketing deals and discounts regularly, while dismissing others as low-value — known in industry slang as “waste.” Exclusion from a vacation offer may not matter much, says Pam Dixon, the executive director of the World Privacy Forum, . . . , but if marketing algorithms judge certain people as not worthy of receiving promotions for higher education or health services, they could have a serious impact.

Die Befürchtung ist, dass Internet-Nutzer die sich nicht für (Sonder)-Angebote "qualifiziert" haben irgendwann ganz von vielen Angeboten ausgeschlossen werden könnten und das müssen nicht nur Konsum-Angebote sein. Wir müssen an dieser Stelle realsieren, dass wir für diese Firmen die unsere Profile erstellen nicht mehr Konsumenten sind, sondern jeder von uns wird zum Produkt. Und wie bei vielen Produkten gibt es einige, die einen höheren Wert zu haben scheinen und denen werden die besseren Angebote gemacht. Und jeder lebt in seiner eigenen virtuellen Blase, die bestimmt wird durch das Profil das diese Firmen von uns gebildet haben. Das wird dadurch bestärkt, dass auch die Nachrichten die jemand im Internet sieht dadurch bestimmt werden, welche Nachrichten die Person früher aufgerufen hat. Den Effekt nennen einige "Leben in einer Internet-Blase" in der man nur das sieht, wofür man sich zu interessieren scheint.

Auktionen im Hintergrund
Wie sehr jeder von uns zum Produkt wird zeigt sich u.a. auch darin, dass im Hintergrund während wir im Internet surfen Auktionen stattfinden, welche Firma wieviel zu zahlen bereit ist, wenn auf der Seite die wir gerade angefordert haben, eine Anzeige dieser Firma stehen darf. Bei diesen Auktionen sind natürlich die Firmen im Vorteil, die mehr über uns wissen, die z.B. wissen, dass wir gerade auf einer anderen Website (oder ihrer eigenen Website) nach einem bestimmen Service geschaut haben. So etwas wird dann Re-Targeting genannt - das Wiedererkennen eines potentiellen Kunden in einer anderen Umgebung und die gezielte Wieder-Ansprache. Diese Auktionen um den Werbeplatz sind nichts neues, Google "versteigert" ziemlich seit Beginn seiner Aktivitäten den Platz für die bezahlte Werbung auf der rechten Seite der Suchergebnisse meistbietend.

Preis-Differenzierung / Behavioural Pricing
Ein anderer Effekt der sich aus der Verwertung dieser Daten ergibt ist die Preisdifferenzierung. Darunter wird verstanden dass unterschiedliche Personen unterschiedliche Preise zahlen müssen. Der (für den Verkäufer) optimale Preis wird aus dem bisherigen Verhalten des Käufers berechnet. In dem Artikel Beängstigend, aber unvermeidlich berichtet der ORF dass Händler immer öfter den im Webshop angezeigten Preis davon abhängig ob sie davon ausgehen, dass der potentielle Kunder ein Schnäppchenjäger ist (z.B. weil der von www.geizhals.at kommt oder weil er bei früheren Käufen positiv auf einen (vermeintlichen?) Rabatt reagiert hat). Oder ob der Kunde bisher immer brav den geforderten Preis gezahlt hat, in diesem Fall bekommt er natürlich kein Sonderangebot angezeigt.

Aktualisierung Juni 2012:
Die Industrie ist der Sache hart auf der Spur und findet heraus, dass Apple-Nutzer beim Hotelzimmer gern etwas mehr zahlen. Hintergrund: der Browser verpetzt bei einem Besuch auf einer Website als erstes mal ganz viel über sein "Herrchen" oder "Frauchen", z.B. das Land, die eingestellte Sprache, aber auch das Betriebssystem. Und da findet orbitz.com durch eine simple Auswertung heraus, dass MacOS Nutzer im Durchschnitt 30% mehr für's Zimmer zahlen. D.h. der kluge Hotelbetreiber bietet solchen Kunden die günstigeren Zimmer gar nicht unbedingt an. Ähnliche Beobachtungen wurden auch in Bezug auf iPad gemacht, gleiche Angebote sind dort oft ein wenig teurer, weil damit die großzügigeren Kunden unterwegs sind. Die Futurezone verlinkt auf den Wallstreet Journal Artikel mit den Details.

Die nächste Stufe: Gezieltes Verändern von Gewohnheiten

Die Zukunft ist schon hier: Das gezielte Manipulieren von Gewohnheiten
Ein Artikel in der NY Times vom Frühjahr 2012 berichtet über die Forschungen zum gezielten Verändern (Manipulieren) von Gewohnheiten. Der Autor berichtet über seine Erfahrungen mit Target, einer großen Einzelhandelskette in den USA, wo es zwar von Lebensmitteln bis Möbeln fast alles gibt, aber der klagt, dass die meisten Kunden dort nur hingehen, wenn sie etwas suchen, das sie im gewohnten Lebensmittelladen nicht finden.

Über Kundenkarten, nummerierte Rabatt-Coupons, Kreditkartenzahlungen oder auch das Öffnen eines Werbe-Emails (zur Erklärung siehe hier) bekommt Target einen sehr guten Überblick über das Verhalten vieler Kunden. Sie können diese Informationen auch mit anderen Informationen über das Verhalten dieser Person im Web verknüpfen, dafür gibt es ja die Tracking-Firmen (beim Öffnen des Werbe-Emails wird ein Cookie gesetzt, das die Tracking-Firmen dann auf vielen anderen Websites wieder abrufen können). Über Aktivitäten am Handy bekommt Target den Standort und weitere demographische Informationen über die Wohnadresse lassen sich leicht zukaufen. Mit Hilfe eines Teams von Statistikern kann Target (und jede andere Firma die das möchte) sehr viel über die Kunden lernen.

Jetzt wird es psychologisch: Verhaltensforscher haben (zuerst an Versuchstieren wie Ratten) studiert, wie Gewohnheiten entstehen und wie sie verändert werden können. Eine Gewohnheit beginnt immer mit einem Stimulus, z.B. einem wiederkehrenden Ereignis, einem Geräusch oder einem Zeitpunkt. Dadurch wird eine Routine ausgelöst und am Ende steht eine kleine Belohnung, ein Ziel ist erreicht. Ohne diese Aufteilung des Tagesablaufs in solche Routinen wäre unser Leben erheblich anstrengender - so fahren wir jeden Morgen an die Arbeit, oft ohne am Ende genau zu wissen, was dabei im Detail passiert ist.

Auch das Einkaufen ist eine solche Routine. Die Einkaufsroutinen sind stabil, aber es gibt einige Zeitpunkte im Leben, wo sie sich oft verändern. Dazu gehört das Zusammenziehen mit einem Partner, die Trennung von einem Partner und auch die Geburt eines Kindes. Die Aufgabe, die Target ihren Statistikern gestellt hatte war, dass sie die Schwangerschaft einer Frau an Hand der Verhaltensdaten so früh wie möglich sicher erkennen sollten. Der Artikel erklärt, wie das gemacht wird: Die Rechner von Target erkennen in ihren Daten subtile Veränderungen z.B. auf einmal nur noch unparfümierte Creme gekauft werden, oder bestimmte Nahrungsergänzungsstoffe. Je mehr Daten vorliegen (z.B. auch darüber welche Websites besucht und welche Bücher gekauft werden) so kann der Schwangerschaftsmonat mit einer recht guten Genauigkeit bestimmt werden.

Die Verhaltensmodifikation wird dann darüber versucht, dass die Kundin in ihrer Post "zufällig" Coupons findet die genau zum Stadium ihrer Schwangerschaft passen. Das ganze war dann irgendwann so exakt, dass es einigen aufmerksamen Kundinnen gespenstisch vorkam. Aber auch das lies sich lösen: Target fügt jetzt immer einige Coupons dabei, die auf keinen Fall zum Lebensstil der jeweiligen Kunden passen, so dass diese den Eindruck bekommen, die Auswahl der Rabatt-Coupons wäre zufällig. Die Details finden sich im NY Times Artikel.

Aktualisierung Juni 2012:
Der Artikel E-Tailer Customization: Convenient or Creepy? beschreibt den Umfang dieser Aktivitäten in 2012:

Half of the largest online retailers in the United States used some personalization techniques last year, compared with about 33 percent the year before, according to Internet Retailer’s Top 500 Guide. And e-tailers are turning to a handful of specialty software companies like PredictiveIntent, RichRelevance, MyBuys and Monetate to help them analyze customer data and segment their audiences for special treatment.

Der Artikel verweist auch, dass heute mittlerweile der Begriff uncanny valley dafür verwendet wird, zur Beschreibung des Effekts verwendet wird, so es den Benutzern zu gruseln beginnt weil die Werbung zu exakt die Interessen wiederspiegelt. Ein Beispiel dafür ist die etwas weiter oben erwähnte "Schwangerschaftsbestimmung" durch Analyse des Verkaufsverhaltens.

Stimmt nicht mehr ! (siehe Link hier, New Yorker, 1993)

Spuren beim Webmaster / Website-Betreiber

Irgendwo muss ich anfangen, also warum nicht gleich mit der obigen Geschichte von der katholischen Organisation. Wenn jemand eine Website betreibt (wie z.B. ich und der oben erwähnte Blogger), dann protokolliert der Webserver jeden Zugriff von außen (d.h. der Rechner der unter der Adresse 'sicherheitskultur.at' erreicht wird - im Fall der sicherheitskultur.at ist das ein Server in Deutschland auf dem sehr sehr viele Websites gleichzeitig betrieben werden). Diese Protokoll-Daten sind u.a.: Datum und Uhrzeit, IP-Adresse des Surfers, welche Seite oder welche Graphik aufgerufen wurde, ob dies gelungen ist (es könnte ja auch eine Tippfehler im Aufruf sein), aber auch ob der Aufruf über einen Link einer anderen Website kommt, z.B. von Google oder einer anderen Suchmaschine. Das ist für den Webmaster interessant, er sieht dann, wieviel Traffic/Verkehr von jeder der Suchmaschinen kommt.

Google ist sogar noch netter, sie melden sogar, welchen Suchbegriff der Surfer eingegeben hat. Da kommen oft sehr interessante, oft lustige Sachen raus. Das ist der Hintergrund der obigen Geschichte. Vermeiden kann der Surfer dies, indem er in der Auflistung der Fundstellen nicht einfach auf den fettgedruckten Titel klickt, sondern über Copy und Paste die URL selbst (die Internet-Adresse) übernimmt und selbst in ein anderes Browserfenster einträgt. Jetzt bekommt der Webmaster immer noch die IP-Adresse seines Gasts, aber er weiß nicht mehr, von welcher anderen Website dieser gerade kam (referrer).

Die IP-Adresse
Auf jeden Fall hat aber der Webmaster die IP-Adresse. Mittels des Whois Systems oder hier über die IKS GmbH kann der Webmaster dann herausfinden, wer diesen bestimmten Block von IP-Adressen angemeldet hat. (Was er damit über Sie lernt, das finden Sie heraus, wenn Sie diese Anfrage mit Ihrer eigenen IP-Adresse durchführen. Wie sie diese finden, steht etwas weiter unten. Und hier finden Sie weitere DNS- und IP-Abfragemöglichkeiten - DNS = Domain Name System, die Verwaltung der "lesbaren" Adressen im Internet wie "hotmail.com").

Auf diese Weise kommt der oben erwähnte Webmaster zum o.g. katholischen Arbeitgeber. Den einzelnen Computer dort kann er nicht identifizieren, denn ziemlich sicher stehen diese alle hinter einer Firewall, die mit einer einzigen IP-Adresse im Internet kommuniziert. Trotzdem ließe sich der einzelne Computer identifizieren, denn der Firewall schreibt eine sog. Logdatei (ein Protokoll) und dort steht, welcher der internen Computer im welche Uhrzeit auf welche Internet-Adresse zugegriffen hat. Dies gilt für alle Firmen, d.h. der Administrator im Unternehmen kann durch Einsicht in den Logfile sehen, wer auf welche Website geht - er kann, darf aber (eigentlich) nicht, die Details sollte eine entsprechende Betriebsvereinbarung regeln (existiert aber sehr oft nicht).

Auch Ihr Computer hat eine (im Falle einer Modem-Einwahl oder bei xDSL zumeist nur tempopräre) IP-Adresse. Diese wird zum Webserver durchgereicht und dort protokolliert. Wenn der Webmaster nachforscht, so kommt er über Whois nur bis zum Internet-Provider. Legal kommt man dort nicht weiter, außer man hat einen richterlichen Beschluss, dann schaut der Provider im Log nach (in dem vermerkt ist, wer wann mit welcher IP-Adresse aktiv war) und gibt den Namen und die Anschrift das Kunden raus. Wer von der Uni aus surft, bei dem ist es wie in einer Firma: im Firewall oder im Proxy Log wird eine entsprechende Zuordnung zum Benutzernamen oder zum genutzten PC gemacht. Auch das ist nachvollziehbar. Wer im Internet-Café surft, bei dem enden die Nachforschungen dann dort. Manchmal nutzen die jedoch Webcams und zeichnen auf, wer wann an welchem PC gesessen hat.

Wie finde ich heraus, unter welcher IP-Adresse ich eigentlich im Netz aufscheine?
Die IP-Adresse, die ich über "Eigenschaften" bei den Netzwerkeinstellungen finde oder die mir "ipconfig" im Command-Fenster gibt, ist nicht immer meine externe Adresse, z.B. wenn ich hinter einem externen Fiewall bin, z.B. als Teil meiner WLAN-Installation. Ein einfacher Weg um die wirkliche externe Adresse zu finden ist die Nutzung dieses Services security-check.ch (weiter zum Quick-Scan, dort wird die Adresse angezeigt) oder im Sicherheitscheck von Symantec. Die so gefundene Adresse (im Format xxx.xxx.xxx.xxx) kann man dann in die diversen, hier beschriebenen Tools einsetzen. Noch einfacher ist natürlich wenn Sie einfach ein wenig tiefer schauen, dort wird ihre IP-Adresse und ihr Wohnort angezeigt.

Ein Beispiel für die Nutzung der IP-Adresse: Besucher beim Bundeskriminalamt in Deutschland
heise.de berichtet von einem Beispiel der Nutzung der IP-Adresse für die Fahnung. Das BKA hat einige Fälle aufklären können weil die Täter sich auf der Website des BKA über den Fahndungsfortschritt informieren wollten. Hier die Details: Neue Zahlen zu "Homepage-Überwachung" durch das BKA.

Eine typische Zusammenfassung von Zugriffsstatistiken

Nutzungsstatistiken
Die Daten die routinemäßig beim Betreiber einer Website anfallen enthalten aber noch mehr Informationen. Da ist z.B. der Referrer, d.h. die Webseite auf der der Surfer gerade vorher war und von der er auf die jeweilige Website "geschickt" wurde. Es werden aber auch die Suchworte übermittelt unter denen diese Website gefunden wurden (Google liefert in dem Verweis auf die Website gleich diese Suchworte mit).

Alle diese so übermittelten Daten werden von kostenlos verfügbaren Programmen wie Webalizer ausgewertet und graphisch dargestellt. Da finden sich dann z.B. Details wie "Detailierte Analyse der letzten 20 Besucher". Dort findet sich die oben erwähnte IP-Adresse, die z.B. aussagt, von welcher Firma aus gesurft wurde.

Darstellung der häufigsten Suchanfragen - für den Betreiber ist jedoch auch eine Auswertung für einzelne IP-Adressen möglich. Viel mehr zum Thema Website-Analyse weiter unten - Stichwort Analytics

Wie solche Nutzerstatistiken dann gezielt ausgenutzt werden können zeigt diese Veröffentlichung auf Wikileaks zum BND. Nachdem Adressbereiche des deutschen Bundesnachrichtendienstes veröffentlicht waren, wurden diese Adressen in Google gesucht und auf diese Weise sieht man dann, dass von einer dieser Adressen auf die Website eines Berliner Escort-Service zugegriffen wurde, dienstlich oder privat, das bleibt offen.

Aktualisierung Februar 2008: Ein Artikel in heise.de berichtet aus Deutschland, dass dort in einer seit März 2007 geltenden Regelung im Telemediengesetz (TMG) Betreiber von Internetdiensten keine personenbezogenen Daten auf Vorrat speichern dürfen. Anlass für den Artikel war eine kräftige Strafandrohung für das Innenministerium für den Fall, dass es die nun eingestellte Praxis der Löschung der IP-Adressen nicht einhält.

Im Xamit Datenschutzbarometer 2008 (pdf) wird aufgezeigt, dass die allermeisten Websitebetreiber sich wenig um Datenschutzregeln scheren und weit mehr Daten sammeln (lassen) als sie zugeben. Die Aktualisierung im Datenschutzbarometer 2009 zeigt, dass sich die Lage in 2009 weiter verschlechtert hat. Der Anteil der Websites die gegen Datenschutzbestimmungen verstoßen ist um 11% gestiegen.

Seit April 2010 bietet Facebook (FB) einen "Gefällt mir"/"I like it"-Button. Mit Hilfe dieses Buttons kann eine Facebook-Benutzer seine Präsenz auf FB mit der der betreffenden Firma verknüpfen. Benutzer bekommen danach die Aktualisierungen der betreffenden Website. Außerdem wird FB ab dann informiert wenn der Benutzer auf dieser Website surft, FB kann die Surf-Verläufe der Nutzer speichern und analysieren.

Aktualisierung Oktober 2011:
Im Zusammenhang mit den Klagen von Max Schrems gegen Facebook in Irland erscheint dieser Artikel im Guardian, in dem sehr detailliert aufgezählt wird, was Facebook so alles aufhebt (als Beispiel für andere manische Datensammler), z.B. jede Einladung die jemand gesendet oder empfangen hat, egal ob angenommen oder nicht, und auch dann, wenn der Benutzer Daten ausdrücklich gelöscht hat.

An anderer Stelle beschreibe ich die Unmöglichkeit einer wirklichen Anonymisierung von Daten.

Spezialfall Suchmaschinen

Aber es gibt ja auch noch andere Tricks. Google kennt von vielen seiner Nutzer (z.B. den gmail-Kunden und den Menschen, die ihre übrigen Services nutzen und sich dafür registriert haben) nicht nur die IP-Adresse, sondern viel mehr. D.h. wenn die Suchmaschine von Google die IP-Adresse bekommt, dann braucht diese nur in der Kundendatenbank nachgeschlagen zu werden und schon ist der Suchbegriff mit dem Namen verbunden. Und hier ist beschrieben, was Google noch alles tut.

Hier noch eine Geschichte über AOL, die aufzeigt, wie selbst sauber anonymisierte Protokolle von Suchanfragen zu einem Verlust an Privatsphäre führen können. AOL hatte, um Wissenschaftlern zu helfen, auf einer speziellen Website 20 Millionen Suchanfragen von 657 000 Kunden zur Verfügung gestellt, und zwar in anonymer Form. Die Anfragen sind nach Kunden geordnet, aber IP-Adresse und Name des Kunden wurden durch Nummern ersetzt. Diese Daten sind mittlerweile ausgewertet worden und sie bieten einen guten Überblick, was einzelne Personen so alles gesucht haben. Die erste der Personen ist mittlerweile auch bereits identifiziert und von der Presse angesprochen worden. AOL hat zwar die Website mit den Daten gesperrt, die Liste kursiert jetzt im Internet und es gibt eine Website, wo jedermann in den Daten stöbern kann.

Die Graphik zu den "Datenkontakten", hier noch die Hintergrundzahlen zu der Graphik

Aktualisierung März 2008:
Die NY Times beauftragt comScore mit einer Studie, welches Unternehmen die meisten "Datenkontakte" hat. Damit meinen sie Ereignisse wie "Benutzer ruft eine bestimmte Webseite auf (mit bestimmten Inhalten)", "Benutzer tippt eine Suchanfrage ein", "Benutzer sieht eine Werbung (statisch oder als Video), entweder auf der Website selbst oder auf einer Website, deren Werbeeinblendungen von dieser Firma sind". Dabei ergeben sich die hier dargestellten Rankings. Es zeigt sich, dass die Firmen Yahoo, Google, Time Warner, MySpace die führenden Firmen sind, wenn es um die Möglichkeiten geht, Informationen über das Verhalten von Internetnutzern zu sammeln (und Yahoo hat einen sehr deutlichen Abstand). Und die "alten" Medienfirmen wie die New York Times, die Wochenzeitschriften von CondéNast und auch Amazon, Wikipedia und eBay weit abgeschlagen sind, wenn es darum geht, ganz gezielte zielgruppenorientierte Anzeigen zu verkaufen, weil sie einfach nicht genügend über ihre Nutzer wissen. Dieses Wissen entsteht für die Marktführer durch die breite Kombination mehrerer Angebote (und dabei sind Informationen, die Google durch das inhaltliche Auswerten der Gmail-E-Mails bekommt und die Inhalte in den Profilen auf MySpace und Facebook noch gar nicht mit eingerechnet worden).

Gezielte Werbung und Benutzerprofile
Dieser Vorschlag der Network Advertising Initiative, einer Organisation von Online Werbefirmen, zeigt wie fein die Benutzerprofile aufgebaut werden. So schlagen sie vor, dass es keine Kategorien für AIDS, Krebs und Erektionsstörungen geben soll (damit der Benutzer nicht ständig an dieses Problem erinnert wird), ebenso für psychische Erkrankungen, Abtreibungen und sexuelle Ausrichtungen wie homosexuell, lesbisch, bisexuell, etc.). Auch Opfer von Verbrechen, z.B. Vergewaltigung sollen nicht gezielt beworben werden. Parkinson, Herzschwäche und Warzen sind aber sehr wohl als Kategorien auch für die Firmenmitglieder der Organisation möglich. Ebenso Abhängigkeiten, kriminelle Vorgeschichte, Tod von Angehörigen, Behinderungen, politische oder relgiöse Anschaungen oder Interesse für Gewerkschaftsthemen.

Was dies für mich zeigt ist, wie fein und gezielt wir heute, bzw. in naher Zukunft beworben werden.

Trick für anonymes Suchen auf Google
Aus einer Fachzeitschrift ein Trick für anonymes Suchen auf Google: First, do a search for Google on Yauba. (Jetzt kann man in Yauba direkt suchen, aber angeblich sind die Ergebnisse nicht so ergiebig wie bei Google). Und dann kommt der Trick:

Man sucht in Yauba nach Google, beim Suchergebnis das auf google.com zeigt gibt es dann einen Link "Visit Anonymously (slower)". Dieser Link führt dann dazu, dass Yaube als Proxy funktioniert und dass für Google die Anfrage direkt von Yaube kommt. D.h. Google lernt nichts über den Anfrager selbst.

Die Google Suchprotokolle
Die Personalized Search History kann laut Google auch deaktiviert werden. Hier der Link dafür: Personalisierung anhand des Suchverlaufs deaktivieren. Das funktioniert sowohl für Suchen mit Anmeldung und auch Suchen ohne Anmeldung. Google hat aber weiterhin ihre Search-History. Diese kann man aber angeblich editieren, d.h. Einträge löschen: Seiten aus Ihrem Webprotokoll entfernen. Dafür muss ich aber mit einem Google-Account eingelogt sein. Und angeblich gibt es auch "Gesamtes Webprotokoll entfernen". Das erscheint aber bei mir nicht, da ich die History wohl de-aktiviert habe.

Geolocation Dienste

So genau (oder ungenau) können Sie geortet werden (courtesy von IPligence.com)

Noch ein Trick, den viele Websites nutzen, wenn sie wissen möchten, wo sich ihre Nutzer aufhalten: es gibt sog. Geolocation Dienste. Diese nehmen eine IP-Adresse und geben mit einer Sicherheit zwischen 70% und 90% die Standort-Daten für diesen Rechner an (geographische Länge und Breite, aber auch Stadt, Bundesland, Staat).

Die Treffsicherheit ist sehr unterschiedlich. Wer über den zentralen Zugangsknoten der Firma surft, scheint auch unter dessen Standort auf. Genutzt werden diese Dienste für Marketingzwecke, da kommt es auf einer Fehlerrate von 30% nicht an, sog. "Streuverluste" sind einkalkuliert. Auf diese Weise kommen dann manchmal Angebote wie "Heiße Dates in Herbergsburg" zustande. Hier sind einige Bespiele zum Selbstprobieren: maxmind.com (die auf Wunsch auch die eigene IP-Adresse anzeigen), ip2location.com (auch hier wird die IP-Adresse automatisch ermittelt), GeoBytes.com, ipligence.com (dort wird man sofort mit einer Landkarte begrüßt). Wenn man mehrere dieser Services testet, dann merkt man, dass dies keine exakte Wissenschaft ist. Manche liefern korrekte Ergebnisse, andere liegen ziemlich daneben. Wenn es um das Platzieren von Werbung geht, ist das kein Problem. Wenn auf Grund dieser Daten andere Entscheidungen getroffen werden (Services, die an bestimmten Orten gesperrt sind), so sind solche fehlerbehafteten Angaben problematischer.

Hier noch 2 Beispiele: utrace.de und infosniper.net - na, wie gut werden Sie lokalisiert?

Veröffentlichung des eigenen Standorts und Wohnorts über Photos-Uploads

Dies ist potentiell noch dramatischer in den Auswirkungen: Mehr und mehr Smartphones haben auch GPS und speichern den Aufnahmeort in den Meta-Daten von Photos (EXIF-Daten) oder Videos. Wenn diese Fotos dann ins Internet gestellt werden (z.B. über Flickr, oder auf Twitter) und sie eine heimische Idylle zeigen, so ist auch klar klar, wo man selbst und die Kinder zu finden sind. Und wenn im Tweet noch steht, das ich gerade in Urlaub fahre, so ist das eine nette Einladung. Die Website IcanStalkU.com zeigt kontinuierlich wie Menschen über Twitter Fotos hochladen und damit (wissentlich oder unwissentlich) ihre Standorte posten.

Die Website bringt auch Tipps zum De-aktivieren der GPS-Daten im EXIF für iPhone, Android-, Blackberry- und Palm-Geräte.

Aktualisierung Mai 2011:
So eine Datenweitergabe der Standorte kann wirklich drastische Auswirkungen haben: In Weißrussland werden Oppositionelle nach der Auswertung von Handydaten durch die Polizei verhaftet

Quelle: Xamit Studie zu Tracking in D.

Cookies, Flash Cookies, Webpixel, (Google-)Analytics, Fingerprints und andere Tracking Tools

Betreiber kommerzieller Websites, speziell wenn sie mit Werbung Geld verdienen (müssen), möchten möglichst viel über ihre Besucher wissen, damit die Werbung gezielt platziert werden kann. Dafür wertet Google die Inhalte der Privatmails auf gmail.com aus, Amazon wertet aus, welche Bücher sich jeder Besucher über die Jahre so angeschaut hat, andere Websites schauen, von welchen anderen Websites die Benutzer kommen.

Diese möglichst passende Platzierung der Werbung ist für die Werbetreibenden sehr wichtig, weil dadurch die immensen Streuverluste vermieden werden sollen. Die werbenden Firmen zahlen sehr häufig nicht für die Platzierung der Anzeigen, sondern nur wenn der Website-Besucher auf die Anzeige geklickt hat (click-thru), d.h. wenn der Besucher Interesse an der Anzeige hatte. Um das zu optimieren muss möglichst viel über den Besucher der Seite bekannt sein und das soll über eine Profilerstellung erreicht werden.

Hilfreich für diese Profilerstellung ist wenn ein Benutzer "wiedererkannt" wird, wenn erkannt wird, dass er sich immer wieder für ähnliche Themen interessiert. Dabei geht es nicht (unbedingt) um eine Erkennung mit Namen und Anschrift, sondern nur darum, welchem der vielen gespeicherten (anonymen) Profile dieser Besucher zuzuordnen ist. Dies ist aber recht schwierig, die oben erwähnte IP-Adresse ist nicht optimal, da viele Internet-Nutzer sich jeden Tag mit einer anderen IP-Adresse auf der Website anmelden (siehe oben).

Ein Trick für die Erstellung eines Profils sind sog. Cookies. Dies sind kleine Dateien, die eine Website auf dem Rechner eines Websurfer speichern kann. Sie werden beim nächsten Aufruf der gleichen Website, bzw. der gleiche Domain, automatisch wieder abgerufen. Dies bedeutet, dass nur diejenige Website, die den Cookie geschrieben hat, ihn auch wieder lesen kann. Hilfreich sind diese Cookies, wenn der Benutzer sich auf der Website anmelden muss, z.B. um seine Webmails abzurufen. Dann kann die Benutzer-ID des Besuchers im Cookie gespeichert werden. Wenn der Benutzer dann später im Büro wieder sein Webmail abruft, so wird auch dort die gleiche Benutzer-ID gespeichert und der Betreiber hat die Sitzungen an verschiedenen Orten dem gleichen Profil zugeordnet. Dagegen kann der Surfer sich wehren, indem er die Nutzung von Cookies verbietet. Dann gehen aber die meisten Websites nicht mehr, bzw. er muss sich jedesmal auf der Website neu anmelden.

Das Sicherheitskonzept von Cookies besteht darin, das nur auf Cookies zugegriffen werden kann, die diese Website (bzw. einer sog. Sub-Domain dieser Website) geschrieben wurden. Auf diese Weise soll ein Tracking des Benutzers über mehrere Domains verhindert werden (wie dies z.B. von Werbefirmen gewünscht ist). Ein Trick besteht darin, z.B. der Server der Werbefirma als Sub-Domain der Website registriert wird, dies wird jedoch nur selten verwendet, denn es gibt einfachere Methoden.

Third-party Cookies
Wenn Websites Werbefläche auf ihren Seite an andere Firmen vermieten, wie z.B. an doubleclick (im Besitz von Google), dann platzieren diese Firmen für ihre Werbekunden dort Werbung in Form von Graphiken oder Filmchen. Diese Inhalte kommen aber nicht von der Website, die der Benutzer aufgerufen hat, sondern sie werden direkt von der Werbefirma abgerufen z.B. von doubleclick.com. Dafür muss der Browser des Benutzers mit dieser Website Kontakt aufnehmen um die Graphik abzurufen (und zwar ohne dass der Benutzer auf diese Werbung klickt, rein durch die Anzeige der Graphik. Bei dieser Kontaktaufnahme muss auf jeden Fall die IP-Adresse des Benutzers mitgegeben werden (sonst findet die Graphik ja nicht wieder zurück), zumeist wird jedoch auch der sog. Referrer mitgegeben, d.h. auf welcher Seite war der Surfer vorher.

Es werden in vielen Fällen aber noch viel mehr Informationen mitgegeben. Eine Studie On the Leakage of Personally Identifiable Information Via Online Social Networks zeigt, dass viele der Social Networks die interne Benutzer-ID mitgeben, mit deren Hilfe der Werbetreibende in aller Regel auf das Profil (mit Name, Foto und vielen privaten Details) zugreifen kann (außer der Nutzer des Netzwerks hat diese Daten explizit gesperrt, was aber beim Namen fast nie der Fall ist). Und weil manche Benutzer Details wie die Email-Adresse nicht öffentlich zugänglich machen so senden manche der Netzwerke solche Daten ihrer Nutzer beim Abruf von Werbeeinschaltungen automatisch ganz explizit zu den Werbetreibenden (auch wenn dies in den Datenschutzerklärungen oft anders dargestellt wird). Details finden sich in der o.g. Studie.

Zurück zu den Cookies: Bei diesem Abruf der Werbung kann das Werbeunternehmen auch einen Cookie auf dem Rechner ablegen und bei einem zukünftigen Abruf einer anderen Werbung vom gleichen Werbeunternehmen auch wieder abrufen, auch wenn die nächste Werbung dieses Anbieters auf einer ganz anderen Website ist. Und so entsteht ein Benutzerprofil über viele Websites hinweg.

Third-party Cookies lassen sich sehr einfach in jedem Browser sperren. Leider ist das aber nicht die Grundeinstellung der Browser, anderseits bringt es keinen großen Schutz gegen Tracking. Denn auch ohne Cookies können sehr viele Daten über die Nutzer einer Website gesammelt werden, und wie das passiert steht ihm nächsten Abschnitt. Mehr zu Schutzmöglichkeiten weiter unten.

Webpixel und Webbugs
Doubleclick (und andere Tracking-Unternehmen) können verfolgen, auf welchen Websites ein bestimmter Rechner aktiv war. Diese Verfolgung über mehrere Websites kann ein Benutzer recht leicht erschweren, indem er im Webbrowser die Nutzung der sog. "Third Party Cookies" sperrt.

Deswegen setzen diese Unternehmen einen weiteren Trick ein um an Daten zu kommen, nämlich Webpixel oder Webbugs. Das sind kleine (unsichtbare) Graphiken (1 pixel x 1 pixel), die nicht von der Website abgerufen werden von der die Inhalte der Webseite kommen, sondern die vom Werbeunternehmen, z.B. Doubleclick, abgerufen werden. Der Trick besteht darin, dass der Aufruf dieser Grafik nicht fest auf der Webseite platziert ist sondern dynamisch durch ein Javascript erzeugt wird. Und in diesen Abruf der Grafik kann das Javascript viele persönliche Daten hineinpacken, z.B. Browsertyp, Betriebssystem, eingestellte Sprache, aber auch Inhalte von Datenfeldern eines (evt. sogar unsichtbaren) Formulars. Und in diesen Datenfeldern kann sehr wohl eine Kunden-ID drin stecken.

Wenn der Anwender in der gleichen Sitzung zwischen verschiedenen Websites wechselt so erscheint in den Logs der Tracking-Firma jeweils die gleiche IP-Adresse. Damit weiß die Tracking-Firma, auf welchen Websites und auf welchen Seiten dieser Sites sich dieser Surfer heute alles herumgetrieben hat.

Dieses Verfahren hat für die Werbenden den Nachteil, dass bei wechselnden IP-Adressen keine durchgehende Profilerstellung möglich ist, aber es liefert trotzdem umfangreiche Information über dieInteressen des Surfers. Am besten ist es für die Werbetreibenden, wenn beides kombiniert werden kann, ein Cookie gesetzt und die Daten der Benutzer über Webpixel auf seinem Weg durchs Internet ausgespäht werden können. Dies mag einer der Gründe sein, warum Google z.B. die Firma Doubleclick gekauft hat. Google kannte bis dahin "nur" das Suchverhalten und die Inhalte aller Mails auf gmail.com und der abgerufenen Videos auf Youtube, aber mit Doubleclick können sie auch sehen, was diese (bei google oft sogar namentlich identifizierten) Benutzer auf anderen Websites so treiben.

Google sind übrigens nicht die einzigen, die solch ein Tracking einsetzen, sie sind nur eben die größten. Yahoo tut ziemlich genau das gleiche, deswegen ist z.B. bei der Nutzung aller Browser Toolbars, ob von Google, Yahoo, Alexis oder anderen, große Vorsicht angeraten. Alle diese Toolbars versuchen, dem Unternehmen bei der Erstellung von Profilen zu helfen, indem sie Informationen versenden (sofern der Benutzer dies nicht deaktiviert hat).

Flash Cookies
Flash Cookies. Erfunden von Adobe, die den Flash-Erfinder Macromedia aufgekauft haben. Dies sind ebenfalls Tracking Objekte auf dem eigenen Rechner, aber nicht sichtbar innerhalb des Browser und mit viel mehr Rechten. Sie können diese sog. Local Shared Objects (LSO) sogar Kamera und Mikrofon aktivieren. Sie können nur über spezielle online Flash Setting Screens auf der Website von Adobe Flash kontrolliert werden. Da steht z.B. im Global Privacy Settings Panel etwas vom Zugriff auf Kamera und Mikrofon des Rechners, ich denke, da sollte man "always deny" anklicken.

Solche Flash Cookies werden u.a. von den Werbefilmchen gesetzt, die auf den Webseiten nerven. Ich habe einiges an den Settings verstellt, Third Party Flash Cookies sollte man wohl auf jeden Fall abdrehen, die dienen ganz sicher nur der Profilerstellung durch Werbetreibende. Ich habe auch sonst noch einiges an den Settings verstellt und die Flash Cookies vollkommen verboten (u.a. maximale Größe 100 KB). Ergebnis ist, dass ich beim Abspielen Filmen jetzt oft gefragt werde, ob ich die Speicherung von Flash Cookies erlaube, meine Antwort ist dann "deny" und der Film läuft ganz normal weiter.

Wie das Wallstreet Journal (siehe oben) berichtet, werden sehr oft diese Flash Cookies genutzt, um sich gegen Benutzer zu wehren, die am Ende von Web-Sitzung die normalen Cookies löschen (lassen), aber die vergessen, dass die Flash-Cookies davon nicht betroffen sind. Die Daten in den Flash Cookies können dann bei der nächsten Sitzung dafür genutzt werden, um die gelöschten Cookies wiederherzustellen.

Weitere Tricks der Tracker: HTML5 and ETag Respawning
Sept. 2011: Leider geben die Tracker keine Ruhe und die Universität Berkeley hat jetzt bei der Benutzer-Tracking Firma KISSmetrics nachgebohrt: KISSmetrics erzwingt Website-Statistiken um jeden Preis. Sie verwenden dazu eine so große Sammlung von Methoden, dass es dem Benutzer nicht mehr sinnvoll möglich ist, alle Spuren gleichzeitig zu löschen. Denn wenn 1 Objekt übersehen wurde, so werden die anderen Objekte aus diesem wieder alle rekonstruiert. Hier die technischen Details in 2 Artikel: Respawn Redux und Flash Cookies and Privacy II: Now with HTML5 and ETag Respawning.

Wie die Artikel erklären kann mit Hilfe einer geschickten Kombination der Technologien der Wunsch des Kunden nach Nicht-Tracking sehr sicher ignoriert werden. So funktioniert dieses Tracking (bei den Websites die das anwenden, siehe Artikel) auch dann wenn Private Browsing eingestellt ist, Cookies blockiert werden, zwischen 2 Browsern gewechselt wird (die ja getrennte Cookie-Sammlungen haben) und auch mit Javascript disabled. Und durch geschickte Wahl der Benutzer-IDs auch über verschiedene Websites hinweg (die Trackingfirma setzt dafür die gleiche Benutzer-ID auf verschiedenen Websites ein). Wenn eine Firma die Kunde eines bestimmten Trackers ist von einer anderen Firma die dort ebenfalls Kunde ist solche Tracking-Daten zukauft, so nennt man das heute "data enhancement". Dies ermöglicht vertiefte Erkenntnisse über den Kunden und muss in der Datenschutzerklärung nicht mal erwähnt werden.

Wie kann man sich schützen: Wenn es eine Firma wirklich darauf anlegt, den Kunden reinzulegen, so hilft nicht viel. Mehr zu den Schutzmöglichkeiten weiter unten.

Tracking unter iOS - UDID und IDFA
Auf iPhones konnten die Apps bis iOS 5 die sog. UDID auslesen, so etwas wie eine eindeutige Gerätekennung. Als Apple dafür kritisiert wurde hat Apple dies mit iOS 6 gesperrt und dafür die IDFA eingeführt (IDentifier for Advertisers). Vorteil für den Benutzer ist, dass er das Tracking über diese Kennung verhindern kann, sofern es ihm gelingt, diese sehr gut versteckte Einstellung zu finden. Die Werbeindustrie ist über diesen Schritt von Apple sehr erfreut, denn die Wahrscheinlichkeit, dass jemand sich die Mühe macht diese Einstellung zu suchen, ist gering ("General", dann "About", dann "Advertising", dann muss "Limit Ad Tracking" auf ON gestellt werden).

Device Fingerprinting
(wem das jetzt zu technisch wird, der springt einfach weiter zum nächsten Abschnitt)

Die US-Bürgerrechtsorganisation EFF (Electronic Frontier Foundation) hatte letztes Jahr eine Website Panopticlick ins Netz gestellt. Dort kann jeder Besucher testen, wie eindeutig die Konfiguration SEINES Browsers ist. Das Ergebnis der Untersuchung (pdf) von 470 000 Besuchern war, dass 83% aller Browser nur auf Grund der Browser-Charakteristika eindeutig erkannt werden konnte (Hier die Meldung die ich selbst bekomme: "Your browser fingerprint appears to be unique among the 1,072,341 tested so far").

Dieses sog. "Device Fingerprinting" ist keine verspielte Theorie, eine Reihe von Firmen bietet diese Technologie aktiv an, z.B. Arcot, 41st Parameter, ThreatMetrix und Iovation. Die Möglichkeiten reichen vom Wiedererkennen eines Angreifers bis zu Marketing. Iovation sagt, dass sie in ihrer "reputation database" die Fingerprints von über 1 Million PCs gespeichert haben die irgendwann mal mit unerwünschten Aktivitäten aufgefallen sind.

Wie funktioniert Device Fingerprinting: Browser senden an Websites eine Reihe von Eigenschaften freiwillig und aktiv (z.B. den Typ des Browsers, für mich "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 GTB7.0"). Viele andere Eigenschaften eines Rechners können über Javascript ausgelesen werden, z.B. die Bildschirmauflösung, die Zeitzone, und vor allem, welche Browser-Plugin Versionen und welche Fonts im Rechner installiert sind. Speziell die letzten beiden Informationen geben extrem viel Informationen preis, an denen der Rechner erkannt wird. Dies kann dann noch mit der IP-Adresse kombiniert werden, die heute für die Mehrheit der Internet-Nutzer konstant ist. Ganz schlecht werden Firmenrechner erkannt wenn diese alle über die gleiche IP-Adresse reinkommen und vollkommen einheitlich installiert und gepatcht sind. Dann stimmen Fonts und Plugin-Versionen identisch überein.

Wie kann man sich dagegen schützen? Nur sehr schlecht. Das Abdrehen von Javascript verhindert die meisten dieser Erkennungstricks. Aber es gibt nur wenige Websites, die dann noch vernünftig funktionieren. Und einige der möglichen Tricks sind kontraproduktiv, wenn sie nur von wenigen angewendet werden. So gibt es einen "privacy enhancing Browzar" der aber nur 7 mal auf panopticlick gesichtet wurde und daher recht eindeutig ist. Andere Browser wurden daran erkannt, dass der Browsertyp bewusst geändert wurde. Aber dann entstehen Situationen, dass ein IE der sich als FF verstecken will ActiveX unterstützt und damit sehr klar identifiziert wird; oder ein vorgeblicher iPhone-Browser, der aber Flash unterstützt. Als sinnvoll haben sich bei diesen Tests TorButton und NoScript erwiesen.

Diese Techniken sind für Werbetreibende die Profile anlegen wollen, eine sehr angenehme Ergänzung zu den Cookies. Wenn nämlich der Benutzer, z.B. 1x die Woche, die Cookies löscht so kann das Tracking-Unternehmen beim nächsten Besuch des "Benutzers ohne Cookie" in seiner Fingerprint-Datenbank nachsehen ob dieser PC nicht vielleicht doch bereits bekannt ist und den gelöschten Cookie wiederherstellen. Umgekehrt kann über die Permanenz des Cookies nach einer Aktualisierung des Browsers und der Plugin-Versionen der Fingerprint auf den neusten Stand gebracht werden. Und falls der Benutzer bei der Browser-Aktualisierung auch gleich die Cookies löscht, so greifen viele dieser Firmen heute auf sog. "Supercookies" oder Flash-Cookies zurück, die bereits weiter oben beschrieben wurden. Diese Flash-Cookies müssen nämlich separat gelöscht werden und das wird vermutlich zumeist nicht durchgeführt.

Analytics Tools
Google (und andere) setzen noch einen weiteren Trick ein: Scripts. Bei Google nennt sich das Google Analytics, ein kostenloser Service von Google für Websitebetreiber die mehr über ihre Besucher lernen möchten. Google Analytics bietet fertige Javascript "Programme", die Informationen über die Besucher einer Website an die Google Website liefern, wo sie gesammelt und ausgewertet werden und dann dem Betreiber der Website in bequemer Weise zur Verfügung stehen. Aber natürlich stehen die Informationen auch Google zur Verfügung. Daher sollte ein korrekter Betreiber einer Website in seiner Datenschutzerklärung darauf hinweisen, was aber nach der ganz unten erwähnten Studie nicht mal Bundesbehörden in Deutschland konsequent tun. Es entstehen in den Datenschutzerklärungen sogar explizite Lügen wie "auf dieser Website werden keine Cookies und kein Javascript eingesetzt" - aber Google Analytics wird eingesetzt und das verwendet Javascript und Cookies. Ein Artikel in heise.de berichtet, die Notwendigkeit der Aufklärung in den Datenschutzhinweisen. Mehr zu Google Analytics. (Yahoo bietet übrigens einen ähnlichen Service an, der auch nicht "privatsphäre-schonender" ist.)

Tracking und Datendiebstahl durch Smartphone Apps

In einer weiteren Untersuchung schaut sich das Wallstreet Journal die zahllosen Handy-Apps an die die Benutzer sich freiwillig installieren. Natürlich sind kostenlose Apps nicht kostenlos, der Benutzer zahlt mit der Preisgabe seiner persönlichen Daten, z.B. des Standorts, oft aber noch viel mehr. Es wurden 101 App für iPhone oder Andrdoid Handys utnersucht, 56 übermittelten Details ohne Zustimmung des Benutzers, 47 davon den Standort, 5 auch Alter, Geschlecht und andere Details. Hier eine interaktive graphische Darstellung der Ergebnisse. Selbst die Mobile Marketing Association (MMA) ist mittlerweile beunruhigt, vermutlich fürchten sie dass die Benutzer ihre Apps nicht mehr installieren wenn zu viel über scharze Schafe publiziert wird.

Welche App greift auf welche Daten zu Quelle: dailymail.co.uk

Im Februar 2012 berichtet die NY Times Mobile Apps Take Data Without Permission. Anlass für diesen Artikel ist der Fall der App Path, die dabei erwischt wurde, dass sie das gesamte Adressbuch der Nutzer "nach Hause" übertragen hat. Der eigentliche Punkt ist aber, dass dabei erwähnt wurde, "dass das doch alle tun". NY Times: So Many Apologies, So Much Data Mining.

Die NY Times zählt z.B. auf: Hipster, Locale, Uber, Yelp, Taxi Magic, Picplz, Scrabble, Waze, Gowalla, Hipster, Foodspotting, Twitter, Foursquare und Instagram. Auf Android wird technisch sichergestellt dass der Benutzer es erlauben muss, auf iPhones bisher (noch) nicht. "Lookout, a mobile security company, found that 11 percent of free applications in Apple’s iTunes Store had the ability to access users’ contacts. And on Tuesday, VentureBeat, a technology blog, reported that dozens of applications for Apple devices were taking users’ address books without permission."

Oktober 2012: Ein Blogger berichtet, dass er 1 Million Facebook User-Daten (Name, email, Facebook Profil URL) für 5 US$ gekauft hat - und zwar von einem Apps-Entwickler. Weil anscheinend jede App die Benutzer-Daten abzieht sind sie nichts mehr Wert.

Ergebnis wird vermutlich sein, dass die Benutzer in Zukunft explizit diesem Datentransfer zustimmen müssen; aber ohne Zustimmung geht die App eben nicht. D.h. die meisten Benutzer werden zustimmen. Und damit werden sie, zumindest in Europa, gegen die Datenschutzgesetze und gegen den ethischen Umgang mit den Daten ihrer Kontakte verstoßen. Denn die Firmen nutzen diese Daten natürlich, z.B. im die Kontakte aus dem Adressbuch mit Einladungen im Namen des Benutzers zu nerven (so wie einige Social Networks das auch tun).

Und Apps spionieren noch viel mehr. Die App Color schaltet bei Bedarf das Mikrofon ein und analysiert die Geräusche. Carrier IQ sammelt Tastatureingaben, Telefonnummern, SMS-Inhalte und vieles mehr. Die Facebook App hat Zugriff auf SMS und andere Informationen. Die Plattform liest mit und greift andere Daten ab. Und darüber, dass fast alle Apps die auf die GPS-Daten zugreifen müssen (wollen) regt sich schon gar niemand mehr auf.

Wie sollen sonst Geschäftsmodelle funktionieren, bei denen die Apps kostenlos verteilt werden? Natürlich geht es um das Datensammeln und den Verkauf dieser Daten an meistbietende (und wenn die Datenschutz-Erklärung den expliziten Verkauf nicht erlaubt, so werden die Daten eben anderweitig "zur Verfügung gestellt", z.B. indem der App-Betreiber im Namen der Fremdfirma seine Kunden kontaktiert. Außerdem muss man ja eh überall der Weitergabe seiner Daten an "befreundete Unternehmen" zustimmen um einen Servicevertrag abzuschließen.

Apple und Android Handys haben Zugriff auf die Fotos der Nutzer. (Die Details finden sich im Link zur Futurezone.) Eine weitere Studie zeigt in 2012, dass 90% der Apps personenbezogene Daten wie den Aufenthaltsort und das Adressbuch übertragen obwohl sie diese Daten nicht für personenbezogene Werbung nutzen. Es bleibt unklar, wofür diese Datensammlungen überhaupt stattfinden. In der gleichen Studie wird aufgezeigt, dass bei den kostenlosen Apps 2% heimlich SMS versendet, 6% Anrufe tätigt ohne den Benutzer zu informieren und 5% auf die Kamera zugreifen. Diese Zahlen steigen in der Kategorie "Cards & Casino" auf rund 90% bei "Racing Games" auch schon mal weit über 90% (die Details gibt es in der Studie). Aber auch gekaufte Apps verlangen oft diese weitgehenden Zugriffe.

Aktualisierung Mai 2012:
Es wird für die App-Entwickler immer mehr zum üblichen Geschäftsmodell, so viel wie möglich an Daten aus dem Smartphone abzuziehen. Die NY Times fasst den Stand in einem Artikel zusammen: LinkedIn’s Leaky Mobile App Has Access to Your Meeting Notes.

LinkedIn, das Business-Social Network (das sich gerade 6 Mio. Passworte hat stehlen lassen) bietet seinen Benutzern eine App an, bei der bei Terminen auch ein Link auf die LinkedIn-Seite des Gesprächspartner angeboten wird. Dazu haben sie sich die Freiheit genommen, die gesamten Termindaten, evtl. mit Anhängen, Login-Informationen für Telekonferenzen, etc. auf ihre Server zu laden ("der Benutzer hat doch zugestimmt dass wir seinen Kalender anzeigen"). Hoffentlich schützt LinkedIn diese Daten etwas besser als die Passworte.

Ein großes Sicherheitsproblem sind die vielen Messaging Apps die derzeit (2012) gerade die SMS-Dienste der Mobilfunkanbieter "killen", z.B. WhatsApp, eBuddy XMS, WowTalk, Tango. Mit diesen Apps können zwei oder mehre Personen miteinander durch Eintippen von Texten kommunizieren (und oft auch Sprache, Videoströme oder beliebige Dateien austauschen). Die meisten dieser Apps haben scheunentor-artige Sicherheitslöcher, die es leicht erlauben, diese Accounts zu übernehmen und dann im Namen des anderen zu kommunizieren.

Tracking der Benutzer beim Email-Lesen

Diese Tricks mit Webpixeln und Webbugs funktionieren auch mit Email, wenn dieses als HTML-Email geöffnet wird. Ob dies der Fall ist, entscheidet der Benutzer in seinen Einstellungen (bzw. der Webmail-Anbieter in seinen Grundeinstellungen). Bei Hotmail ist z.B. so, dass Images (d.h. auch die oben erklärten Webbugs) erst angezeigt werden, wenn der Benutzer das Mail oder den Absender als vertrauenswürdig eingestuft hat.

Wenn bei einem Werbe-Email Bilder oder Logos angezeigt werden, so kann der Benutzer davon ausgehen, dass der Versender des Mails jetzt weiß, dass das Mail geöffnet wurde. Sie sollte auch davon ausgehen, dass der Versender weiß, wie lange das Mail offen bleibt und ob der Benutzer dann noch auf einen der eingefügten Links geklickt hat und zwar auf welche. Dies wird erreicht, indem dieses Mail personalisiert ist. Dies bedeutet, dass alle Links in diesem Mail personalisiert sind, d.h. dass sie eine Kennung enthalten die nur dieser eine Adressat zugewiesen bekam, z.B. seine interne Kundennummer oder etwas ähnliches.

Der Empfänger des Emails muss davon ausgehen, dass der Inhalt dieses Emails vermutlich genau auf seine bisherigen Reaktionen auf frühere Emails oder auf der zugehörigen Website zugeschnitten ist. Dies wurde sehr intensiv für die 2012 Wahlkampagne in den USA dokumentiert. Dort werden für viele der Millionen Emails die in diesem Rahmen versendet wurden verschiedene Versionen aufgelistet. Das geht so weit, dass bei Spendenaufrufen ein Betrag vorgeschlagen wird, der sich aus den früheren Spenden dieser Person errechnet.

Wie kann man diese "fürsorgliche Beobachtung" verhindern? Der erste Schritt ist, dass man sich erst gar nicht auf solche Werbeverteiler setzen lässt, oder sich, wenn man an den Mails nicht mehr interessiert ist, wieder entfernen lässt (was bei reputablen Firmen eigentlich immer funktionieren sollen und zumeist auch klappt). Die nächste Option ist Löschen vor dem Öffnen des Mails. Auf diese Weise erfährt der Versender gar nichts, d.h. er geht davon aus, dass das Mail gelöscht wurde (oder die Images unterdrückt sind).

Wenn man sich für die Inhalte sehr wohl interessiert, aber das detaillierte Tracken nicht möchte, so kann man dies verhindern indem man blockiert, dass Bilder angezeigt werden (z.B. indem der Absender nicht in der Liste der vertrauenswürdigen Versender gespeichert wird). Auch sollte man in diesem Fall nicht auf die im Mail enthaltene Links klicken sondern die verlinkten Artikel irgendwie anders auf der Website suchen. Das ist natürlich mühsamer und jeder Benutzer muss für sich entscheiden, ob er anonym auf das Email reagieren möchte oder nicht - oder ob sie sich ganz vom Verteiler nehmen lässt.

Ich persönlich bin auf einer begrenzten Zahl von Email-Verteilern (z.B. einige kleine Theater oder Kabarettbühnen) und mache mir in diesen Fällen nicht den Stress, mein Verhalten und meine Interessen zu verschleiern. Ich "bezahle" mit meinem (automatisierten) Feedback für die Zusendung der Informationen, aber es gibt ja durchaus Sachen, die man auch gern unterstützt.

Spuren beim Internet-Provider

Soweit erst mal nur die Endstelle der Kommunikation, der Webserver. Auf dem Weg zum Webserver werden die Daten aber von vielen anderen Stellen weitertransportiert, die für unsere Betrachtungen wichtigste ist der eigene Internet-Provider. Bei diesem laufen alle Datenpakete durch und hier gibt es eine zentrale Möglichkeit zur Protokollierung des Datenverkehrs. Daher ist dies die ideale Stelle wenn Behörden (oder jemand anders, siehe die Abhörskandale in Griechenland und in Italien) den Datenverkehr abhören will.

Die Daten des Telefon- und Internet-Providers sind deshalb das Thema der sog. Vorratsdatenspeicherung in Europa. Denn bisher besagte das Fernmeldegeheimnis, dass solche Protokoll-Daten nur soweit aufgehoben werden dürfen, wie sie zur ordnungsgemäßen Rechnungsstellung dienen und sie dürfen maximal so lange aufbewahrt werden, bis mögliche Einsprüche gegen die Rechnung nicht mehr möglich sind. Jetzt sollen die sog. Verkehrsdaten (d.h. wer hat wann mit wem kommuniziert?) für Strafverfolgungszwecke (Stichwort Terrorismus) viel länger aufbewahrt werden und den Behörden auf Abruf zur Verfügung stehen. Weiterhin verboten ist die Speicherung der Inhaltsdaten, z.B. der Inhalt von E-Mails, SMS oder Telefongesprächen, anderseits sind die Suchstichworte bei Google Teil der URL, d.h. Teil der Verkehrsdaten).

In den USA ist ziemlich bald nach 9/11 bei vielen Internet Providern eine spezielle Hardware der Firma Narus (NarusInsight) installiert worden, die eine systematische Durchforstung das gesamten Datenverkehrs, d.h. auch der Inhalte, nach Stichworten ermöglicht und das mit sehr hoher Geschwindigkeit und in "real-time". Dass dies ohne richterlichen Bechluss passiert ist, hat bei vielen Amerikanern einige Aufregung verursacht, anderseits wird diese Praxis vermutlich jetzt bald legalisiert. Hier noch einige Hintergründe zum Abhören.

Eingehende Emails sind ein weiteres Gebiet, wo möglicherweise vertrauliche Daten beim Internet-Provider vorliegen (auch aus diesem Grund sollten wirklich vertrauliche Informationen immer nur verschlüsselt versendet werden, z.B. mit dem kostenlosen PGP). Diese Emails werden vom Internet-Provider auf sog. SMTP-Servern zwischengespeichert, bis sie dort vom Emailprogramm des Nutzers über das POP-Protokoll (oder in Ausnahmefällen IMAP) abgerufen werden. Das lokale Email-Programm kann dabei vorgeben, ob die abgerufenen Emails auf dem Server des Providers verbleiben sollen. Ausgehende Emails werden beim Provider nicht gespeichert.

Behavioral Targeting durch Internet-Provider
Leider notwendige Aktualisierung März 2008: Die Firma Phorm meint, dass die Tatsache, dass der gesamte Internetverkehr durch die Netze der Internet-Providers führt, doch eine Goldgrube sei, die bisher vollkommen ignoriert wurde. Sie haben es geschafft, in England Verträge mit 3 Providern abzuschließen (u.a. British Telecom, BT) die zusammen 70% des privaten Datenverkehrs durchschleußen. Und diesen Datenverkehr wird Phorm zwecks Profilierung von Internetnutzern zu Werbezwecken auswerten. Die Kunden dieser 3 ISPs sollen die Möglichkeit erhalten, aus dieser Datenschnüffelei auszusteigen, wie das im Detail aussehen wird, ist noch offen. - Zum Hintergrund: Phorm ist eine Umbenennung der Spyware-Firma 121Media, die jetzt versuchen, auf einem legalen Weg an die Informationen über das Surfverhalten der Internetnutzer zu kommen. Und es scheint fast so, als ob es klappen könnte.

Aber Phorm sind nicht die einzigen, die so etwas in Arbeit haben. Die Firma NebuAd hat ebenfalls Verträge mit einer Reihe von ISPs in den USA. Eine weitere Firma, die auf diesem Gebiet aktiv ist, ist FrontPorch. Der Chef von NebuAd erklärt hier das Konzept. Wenn die Überwachungsssoftware merkt, dass der Nutzer nach einem bestimmten Begriff sucht, oder gar auf eine Werbung in Adwords klickt, so bekommt er beim nächsten Besuch einer Partnerwebsite des Überwachungsunternehmens genau solche Anzeigen gezeigt. Hier ein Artikel zum Stand des Behavioral Targeting durch Internet-Provider in den USA.

Inhaltlich stellt dies eine deutliche Steigerung des Eingriffs in die Privatsphäre dar. Das Unternehmen behauptet zwar, dass sie Suchanfragen und besuchte URLs nicht speichern, sondern nur für die Bildung eines Interessenprofils des Nutzers auswerten, d.h. sie setzen z.B. den Zähler "Autointeresse" um 1 hoch, wenn jemand auf einer Automobilwebsite war, nach einem Autothema gesucht hat oder einen Artikel einem Autothema gelesen hat. Dieses Profil wird in einer Datenbank gespeichert und dann mit einem Cookie auf dem Rechner das Nutzers verknüpft. Aber es setzt natürlich viel Vertrauen voraus, das Unternehmen beim Surfen über die Schulter schauen zu lassen, auch wenn sie versprechen, alles sofort wieder zu vergessen. Die Allgemeinen Geschäftsbedingungen können geändert werden, bzw. staatliche Stellen können Interesse bekommen, auf diese Daten zuzugreifen, indem sie eine Gesetzesänderung wie die jetzige zum Sicherheitspolizeigesetz einführen.

Mit dem Trick den gesammten Verkehr abzuhören hat das Unternehmen nicht nur Zugriff auf die Suchanfragen bei 1 Suchmaschine, sondern gleich bei allen. Und außerdem sehen wie, auf welchen Seiten der Nutzer noch war und bei welchen Banken er oder sie eBanking nutzt, und, und, und.

Spuren auf dem Rechner des Internetnutzers - die "History"

Die letzte Stelle, wo Spuren vom Internet-Surfing verbleiben, ist der Rechner selbst. Dort speichert jeder Browser eine sog. History und er verwendet einen sog. Cache zum Speichern der Inhalte und Bilder, die er einzeigt. Durch den Cache soll vermieden werden, dass bei einer Rückkehr zu einer eben gerade betrachteten Seite die Inhalte alle wieder aus dem Internet abgerufen werden müssen.

Mittlerweile haben alle Webbrowser Funktionen, z.B. unter "Extras" oder unter "Tools", die ein Löschen solcher Daten erleichtert. Manchmal kann man dabei einstellen, was alles gelöscht werden soll. Ein Löschen aller Cookies führt z.B. dazu, dass man sich bei allen Websites, z.B. Zeitungen oder Amazon, bei denen man nur nach einer Registrierung Zugriff hat, wieder mit Benutzername und Passwort anmelden muss.

In diesem Zusammenhang ist auch die Funktion Private Browsing zu erwähnen (weiter hinten mit mehr Details beschrieben) bei dem die History gar nicht erst geschrieben wird. Diese History-Datei ist an sich nur lokal auf dem jeweiligen Rechner gespeichert, d.h. wenn niemand Zugriff auf diesen Rechner hat, so sollte diese History auch geschützt sein. Leider haben die Browser fast alle erweiterte Funktionalität die diese History-Datei auch für Website verfügbar macht. Die hier verlinkte Studie Empirical Study of Privacy-Violating Information Flows in JavaScript Web Applications (pdf) zeigt auf, dass diese Funktionalität für sog. History Sniffing aktiv genutzt wird.

Zu diesem Thema siehe auch die Diskussion zum Bundestrojaner.

Eigenhändig erzeugte Spuren und Reputation Management

Bis jetzt waren das alles Spuren, an deren Erzeugung wir nicht bewusst mitgearbeitet haben. Dieses Kapitel behandelt jetzt Spuren, die wir selbst gelegt haben und dies ist unzweifelhaft die größte (und vermutlich auch die gefährlichste) Quelle von sehr persönlichen Informationen. Ich spreche von den Informationen, die wir auf Social Networking Sites (viel mehr dazu auf meiner anderen Website, siehe Link), wie z.B. MySpace, Friendster, Facebook, StudiVZ, SchülerVZ, Xing, LinkedIn, schulfreunde.de, schulfreunde.at, stayfriends.de, klassenfreunde.at, klassentreffen.at selbst eingegeben haben.

Der Trend geht (derzeit noch?) zu ständig steigender freiwilliger Transparenz, anscheinend ist dies vom (hauptsächlich jüngeren) Publikum so gewünscht. Ungefähr 2009 hat aber sogar die etwas seriösere Business Networking Website Xing eingeführt, dass alle eigenen Kontakte über jede Änderung sofort informiert werden, z.B. wer hat wen eben gerade als Kontakt hinzugefügt. Zu den Risiken der Social Networks gibt es einen separaten Artikel.

Andere Websites auf denen wir Privates abspeichern sind z.B. die Photosharing Websites, z.B. flickr.com, Picasa Web Albums, Sevenload.de, fotolog.net, oxp.de oder Spezialsites wie baby-boom.at, babyphotos.at, und die Videosharing Websites wie YouTube, vimeo und viele andere. Selbst wer nicht selbst etwas von sich da hochlädt, dem kann es trotzdem passieren, dass jemand anderes das tut und vielleicht als Bildunterschrift (oder über sog. Tags) den vollen Namen angibt.

Leider ist oft nicht ganz klar, wer auf solche Informationen zugreifen kann, ob nur Mitglieder, nur die eigenen "Freunde", "Kontakte", "Buddies" oder jeder, d.h. auch Firmen, die die Informationen für eine Profilerstellung ausnutzen. Das hängt nämlich vom Kleingedruckten der Datenschutzerklärung (Privacy Policy) ab. Da kann man dann durchaus überrascht sein, wenn Einträge von schulfreunde.de auf einmal in Google angezeigt werden.

Datenschutzerklärungen sind ein Kapitel für sich. Oft sind sie trickhaft formuliert und sagen nicht wirklich aus, was der Dienstanbieter mit den Daten wirklich vorhat. Natürlich hat er möglichst viel vor, der Wert der Daten, die die Benutzer eingeben sind ein wichtiger Grund, warum solche Services kostenlos angeboten werden. Dies bedeutet nicht (unbedingt), dass die Daten direkt weiterverkauft werden, obwohl auch dies möglich ist. Da stehen dann z.B. Formulierungen dahingehend, dass "die Daten nicht den DB-Konzern verlassen, garantiert nicht an Dritte weitergehen" (siehe Deutsche Bahn [Big Brother Award 2007]. Damit ist gemeint, dass die Daten im Unternehmen Loyalty-Partner, die jedoch auch Bonuspunkte für andere Unternehmen verwaltet, also die Daten auch für Nicht-Bahn Zwecke verwenden kann.)

Sehr oft stimmt man aber bei der Anmeldung zu, dass die Daten "an Partnerunternehmen weitergegeben werden können", bzw. dass man bereit ist, "E-Mail von Partnerunternehmen" zu erhalten. Und Partnerunternehmen sind im Zweifelsfall alle, die genügend Geld für die Daten zahlen. In den anderen Fällen werden die Daten zwar nicht direkt weitergegeben, aber die Inhalte dienen oft als Grundlage für eine gezieltere Platzierung von Werbung.

Was wirklich über Sie im Netz zu finden ist, finden Sie nur durch eine direkte Suche heraus. Gehen Sie auf google und suchen Sie nach "Vorname Nachname" (die Gänsefüßchen sind wichtig, sonst werden sehr viele falsche Einträge gefunden.

Hier der Link zu meinem ausführlichen Artikel zu Social Networking und Privatsphäre. Dort gibt es auch einen Abschnitt, der im Details erklärt, was beim vorsichtigen Umgang mit solchen Netzwerken zu beachten ist, für Privatleute und auch Firmen: Wie stelle ich meinen Account bei Xing and LinkedIn sicher ein.

Spock.com
Kennen Sie spock.com? Zumindest wer in LinkedIn angemeldet ist oder wer eine eigene Website unterhält, ist auch dort zu finden. Spock.com trägt automatisiert Informationen über alle Personen zusammen, die sie im Internet finden, Fehler sind dabei natürlich auch leicht möglich. Wer im Internet in einem Forum beschimpft wird, von dem sammelt spock.com auch diese Beschimpfung und generiert entsprechende Such-Tags. Wer will, kann sich selbst auf spock.com registrieren und hat dann mehr Möglichkeiten, auf sein dortiges Profil Einfluss zu nehmen.

Ähnlich funktioniert übrigens auch 123people.com. Suchen Sie sich doch einfach mal selbst, Sie werden bestimmt eine Überraschung erleben.

Damit sind wir beim Thema Reputation management. Dabei geht es darum, dass man versucht, eine Kontrolle darüber zu bekommen, wie man (oder frau) im Internet bei einer Internetsuche aufscheint. Wenn da z.B. Fotos auf einer Foto-Websites sind, die zu später Stunde bei einer wilden Party gemacht wurden oder ähnliche Sachen, die bei einer späteren Bewerbung schädlich sein könnten, dann gibt es Firmen, die darauf spezialisiert sind, diese wieder löschen zu lassen, oder wenn dies nicht möglich ist, durch andere (selbst erstellte) Beiträge auf anderen Websites bei den Ergebnissen der Suchmaschinen auf die hinteren Seiten zu verdrängen.

Hier eine Website eines US-Anbieters für Reputation Management Visible Technologies. Diese Firma wertet täglich alle wichtigen Blogs und Social Network Seiten in sehr vielen Sprachen der Welt aus und stellt für ihre Auftraggeber (Firmen, aber auch Spionage- und Überwachungsbehörden) Berichte nach den jeweils gewünschten Stichworten zusammen. In-Q-Tel, der Investmentarm der CIA hat sich gerade mit einer größeren Summe am Unternehmen beteiligt.

Social Networks sammeln auch Daten über Nicht-Mitglieder
Auf meiner Seite über Social Networks und Privatsphäre gibt es jetzt auch einen Beitrag zu Diensten wie Friend Finder von Facebook. Das gespenstische daran ist, dass dort auch Daten über Nicht-Mitglieder gesammelt werden.

Gesichtserkennung, Face-Recognition, Foto-Tagging
2011 gibt es rasante Fortschritte bei der Gesichtserkennung, täglich werden Millionen Fotos von Personen mit deren Namen versehen und mittlerweile wird überall auch automatisches Tagging angeboten: unter den vielen bereits gespeicherten Gesichtern die bereits mit Namen verbunden sind werden ähnliche gesucht und vorgeschlagen. Und mit jeder dieser Interaktion werden die Programme schlauer und haben ein größeres Datenmaterial vorliegen das noch bessere Erkennungen ermöglicht. Mehr dazu unter Face Recognition - Gesichtserkennung.

Vorsicht bei Nick-Names und Pseudonymen

Viele Websites bei denen die Benutzer eigine Texte oder Kommentare eingeben können, z.B. die vielen Foren, aber auch amazon, fast alle Zeitungen, etc., bieten die Möglichkeit, unter einen sog. Nick-Name aufzuscheinen. Man könnte meinen, dass damit die Anonymität meiner Beiträge gewährleistet ist.

So einfach ist jedoch leider das Leben im Internet nicht. Da gibt es eine ganze Reihe von Fallen, die dazu führen können, dass sehr wohl ersichtlich ist, wer einen Beitrag geschrieben hat. Hier ein Beispiel: Ich hatte eine Weile unter dem eigenen Namen bei amazon Bücher kommentiert, aber dann wollte ich lieber unter einen Pseudonym aufscheinen. Und auf den ersten Blick klappt das auch, man ändert seinen Nick-Name auf einen neuen der keinen Hinweis auf die Identität verrät, schreibt seinen Kommentar und der erscheint unter dem neuen Name. Aber leider gibt es den Button "alle Beiträge dieses Autors". Dieser Button führt dann den neuen Nick-Name und den ursprünglichen Namen zusamnmen und die Anonymität ist geplatzt. Das ist mir auch bei einer Zeitung passiert.

Die Zeitschrift c't schreibt dazu einen sehr interessanten Artikel: Datenschutz-Fallrückzieher. Jemand hatte ich bereiterklärt, für einen Test zur Verfügung zu stehen, bei dem die Redaktion mal schaut, was sie so alles über ihn findet. Als er dann gesehen hat, wie die verschiedenen privaten und beruflichen Identitäten und die seiner Familie in einem großen Profil zusammengefasst waren, da hat er die Veröffentlichung des Artikels verboten. Die Gegenfrage der Redaktion: Was ändert das eigentlich die Daten sind doch eh schon alle online?

Eine andere Falle besteht darin, dass man den gleichen Nick-Name auf mehreren Websites nutzt. Google führt diese Beiträge dann sehr schön zusammen und schon aus der Zusammenstellung der Themen können sich Hinweise ergeben. Und wenn eine dieser Websites dann irgendwo eine E-Mail-Adresse mit dem Nick-Name verlinkt und das die normale E-Mail-Adresse des Benutzer ist, dann ist die Anonymität sicher geplatzt.

Aber es gibt noch mehr Fußangeln: Wenn es auf der Website die Möglichkeit gibt, sich selbst einen Avatar zu gestalten, so kann dieser Hinweise auf die Identität verraten. Auch spezielle Grußformeln (z. B. Salve) oder gleiche Signaturen haben auch einen großen Wiedererkennungswert. Ebenso können Hinweise auf eine bestimmte Region, in Verbindung mit einer wiedererkennbaren Familiensituation oder auch ein besonderer Schreibstil die Anonmität aufheben.

Wichtig: Wenn bei einem Forum Ihre Anonymität wirklich wichtig ist, so müssen Sie einen Nick-Name verwenden, der Sie auf keiner anderen Website verwendet haben. Und als E-Mail-Adresse für diese Website sollten Sie ebenfalls eine neue kreieren, die keinen Hinweis auf ihre wirkliche Identität zulässt (gmx, gmail oder ähnliches). Falls Sie auf der gleichen Website früher bereits nicht-anonym aktiv waren, sie kreieren Sie vorsichtshalber einen ganz neuen Account ohne Verknüpfung mit ihrer vorigen Aktivität. Letztendlich müssen Sie sich komplett neu erfinden, mit einer anderen Wohnregion, einer anderen Familiensituation und mit einem anderen Schreibstil. Eine wirklich sichere Anonymität herzustellen ist harte Arbeit.

Und zusätzlich wird die Nutzung von Pseudonymen immer schwieriger gemacht. Google+ und Facebook verbieten sie in den Nutzungsbedingungen. Facebook ist jetzt (Sommer 2012) dabei ertappt worden wie sie durch Rückfragen bei den friends versuchen herauszufinden, ob jemand ein Pseudonym verwendet. Hier ein Artikel zur Nutzlosigkeit des Realnamen-Zwangs mit vielen Details und Untersuchungen.

Falsche Profile

Aktualisierung August 2012
Es gibt eine Gegenbewegung zum Zwang zum vollen Namen: Mittlerweile gibt es Fake Profile Generatoren. Aber Achtung: Wie ich an anderer Stelle ausführlicher erkläre, ist dies kein wirklicher Schutz gegen eine Profil-Erstellung durch die Profis.

Darum bemüht sich aber ein anderes Projekt: breadcrumbssolutions.com. Sie schreiben "Breadcrumbs automatically creates a Bogus Identity for you, preventing trackers from analyzing your real browsing information. The software transparently performs Internet browsing sessions, building interest topics that do not represent who you are. Any analysis of your browsing data will yield useless results. The Breadcrumbs Bogus Identity dashboard will let you control your Bogus Identity browsing behavior and interests, letting you decide who you want to be online." Bruce Schneier berichtet, dass Apple ein Patent für Pollution of electronic profiling angemeldet hat. Das muss aber nicht viel bedeutet, oft werden Patente auch nur angemeldet um andere Firmen von einer bestimmten Technologie fern zu halten. Inhaltlich klingt es ähnlich, der Nutzer spezifiert ein anderes Profil so, wie er gern gesehen werden möchte.

Ob das die große Lösung ist kann ich derzeit nicht beurteilen. Falls sich so etwas durchsetzen würde, so würde gleichzeitig eine heftige Gegenbewegung der Datensammler entstehen, so wie derzeit (2012) heftig gegen die No-not-Track-Feature in den Browsern gekämpft wird. Erstens wird so etwas bestimmt verboten werden (wie auch immer das durchzusetzen wäre, siehe die Bemühungen um das Erzwingen von Realnamen bei Google+ und Facebook). Anderseits können natürlich die Analyse-Programme versuchen, den Unterschied zwischen wirklichem Surfen und Robot-Surfen zu erkennen.

Das Internet als Echo-Service

In der NY Times und an anderen Stellen wird über den Echo-Effekt des trackenden Internets berichtet: The Trouble With the Echo Chamber Online. Es geht dabei darum, dass z.B. Suchmaschinen sich merken, auf welche der Ergebniss-Links der Benutzer in den letzten Monaten geklickt hat und daraus herleitet, wofür ein Benutzer sich hauptsächlich interessiert. Wenn dann neue Suchanfragen gestartet werden so bringt die erste Seite nur solche Ergebnisse, die mit den Interessen und Neigungen des Benutzers übereinstimmen.

Ergebnis ist, dass wenn mehrere Leute die gleiche Suchanfrage stellen, unterschiedliche Ergebnisse geliefert werden, und zwar vorwiegend solche, die die eigene Meinung bestätigen. Das heißt, der Benutzer bekommt den Eindruck, dass im Internet sowieso alle seiner Meinung seien. Die NY Times berichtet von Test bei denen in einer Gruppe die Frage "Is Osama really dead?" eingegeben wurde und einer der Teilnehmer hauptsächlich Links auf Verschwörungsseiten bekommen hat.

Die gleichen Effekte gibt es auf mehr und mehr Websites, z.B. bei Amazon, Netflix, etc. Das Internet ist eine tolle Maschine um die eigene Meinung zu bestätigen (und die eigene Meinung bestätigen zu lassen haben wir wohl alle recht gern).

Software-as-a-Service (SaaS) Spuren

SaaS bezeichnet die Nutzung von Anwendungen die nur im Web zur Verfügung stehen, wie z.B. Webmail. Mittels Technologien wie AJAX können heute auch andere Anwendungen sinnvoll angeboten werden. Beispiele sind die Kundenverwaltungssoftware von salesforce.com oder die Office Anwendungen, die google online zur Verfügung stellt. Dabei werden die Anwendungen mittels Webbrowser gestartet, die Anwenderdaten werden zumeist bei dem Serviceanbieter gespeichert. Was dort mit denen passiert, das regelt die jeweilige Datenschutzerklärung.

Einiges zum Thema kreative Privacy Policies findet sich auch unter dem Stichwort Google. Google schlägt mit ihrem Gmail-Service ganz gezielt den Benutzern vor, möglichst alle ihre Emails auf den Google-Servern zu speichern. Sie werten die Inhalte dieser Mails (zusammen mit der Geschichte aller Suchanfragen dieser Person) aus, um gezielt Werbung platzieren zu können, die zu den im Email angesprochenen Themen passt. In manchen Fällen von SaaS-Anbietern ist nicht immer ganz klar, wer der Besitzer der Daten ist (z.B. bei Photosharing Sites).

Alle vertraulichen oder persönlichen Daten, die extern gespeichert werden, sind automatisch außerhalb der eigenen Kontrolle und erwecken Begehrlichkeiten. Strafverfolgungsbehörden greifen über Richterbeschluss regelmäßig darauf zu (mit oder ohne Kenntnis der Betroffenen). Auch die Mitarbeiter solcher Services kommen manchmal in Versuchung, ein wenig in den Daten zu stöbern. Und außerdem versuchen Angreifer immer wieder, in diese Rechner einzudringen und dort Informationen abzuziehen.

Ein weiterer Problempunkt in Bezug auf Datenschutzerklärungen und Vertraulichkeit von Daten sind Konkurse. Datenschutzerklärungen gelten für das Unternehmen selbst. Nach einem Konkurs werden die Daten, so wie alles andere, was noch verwertbar sein könnte, vom Konkursverwalter übernommen. Und dessen Interesse sind nicht die ehemaligen Kunden eines Services, sondern die Schuldner, die ihr Geld wiederhaben wollen. D.h. er wird in vielen Fällen die Daten meistbietend verkaufen. Einiges zum Thema kreative Privacy Policies auch unter dem Stichwort Google, die sehr gut im gezielten Platzieren von Werbung sind.

Schutzmöglichkeiten gegen Tracking

Aktualisierung Nov. 2012:
Microsoft und Fraunhofer-Institut haben ein Projekt für mehr Privatsphäre beim Surfen implementiert, eine Tracking-Schutz Liste für den Internet Explorer 9. Die Liste kann man sich hier holen - Voraussetzung ist IE9, d.h. nicht für Win XP.

Wirklich anonmyes Surfen ist nicht einfach und erfordert Anonymizer wie weiter oben beschrieben (und auch das ist nicht 100% sicher). Aber für die meisten von uns, die nicht zu viele Informationen über sich im Internet hinterlassen möchten, gibt es ein paar andere Möglichkeiten. Eine sehr gute Studie der Carnegie Mellon Universität mit dem Titel Why Johnny Can’t Opt Out: A Usability Evaluation of Tools to Limit Online Behavioral Advertising beschreibt die Möglichkeiten, die die Internet-Nutzer haben um sich nicht tracken zu lassen. Er zeigt aber auch an Hand dieser Benutzerbarkeitsstudie, dass es von den Teilnehmern eigentlich niemand geschafft hat, das so zu implementieren wie sie vor hatten. Hier der Überblick über die Möglichkeiten:

Wir müssen 3 verschiedene Vorgangsweisen unterscheiden, nämlich das Opt-Out über die Networking Advertising Initiative, dann die Do-not-track Funktionalitäten der Browser und zuletzt die Tracking Blocker wie Ghostery. Diese Funktionen werden im Folgenden beschrieben.

Opt-Out of Behavioral Advertising
Die Funktionalität des Opt-Out kann man leicht überschätzen, auch mir ist das vor diesem Artikel so gegangen. Die Website sagt aber ganz klar "Opt-Out of Behavioral Advertising". Und das ist genau das, was dort angeboten wird und nicht mehr. Die Firmen, die dort selektiert werden, präsentieren auch weiterhin Werbung und sie sammeln auch weiterhin Daten über das Benutzerverhalten (und verkaufen das vermutlich weiter), aber die Werbung die diese Firma schaltet basiert nicht mehr auf diesen Erkenntnissen sondern ist zufallsgesteuert. Was beim Opt-Out passiert ist, dass ein Cookie gespeichert wird, den die Firmen versprechen zu respektieren und nur noch zufallsgesteuerte Werbung zu präsentieren. Allerdings nur so lange wie der Benutzer diesen Cookie behält. Viele Benutzer löschen von Zeit zu Zeit, oder auch am Ende jeder Browsersitzung, alle Cookies. Damit ist dieses Opt-Out auch schon wieder rückgängig gemacht.

Die Tracking-Firmen bieten Möglichkeiten, sich sein Profil bei den Trackingfirmen anzusehen. Hier einige der URLs:

• http://www.google.com/ads/preferences/ zeigt ihr Profil bei Google / Doubleclick
• https://choice.live.com/UserPreferences erlaubt Benutzern von Hotmail oder Windows Live ID eine Selektion von Interessen oder ein Opt-Out
• http://privacy.yahoo.com/aim zeigt das Profil ein und erlaubt ein Verändern des Profils
• http://tags.bluekai.com/registry zeigt das Profil und erlaubt Veränderungen
• http://www.exelate.com/new/consumers-optoutpreferencemanager.html erlaubt eine Selbstbeschreibung oder Opt-Out
• http://www.lotame.com/preferences.html zeigt das Profil und erlaubt Veränderungen

Ich persönlich habe nirgendwo dort ein Profil, denn ich verwende die letzte der 3 Techniken die ich in diesem Abschnitt vorstelle.

Do-not-track Funktionalität der Browser

Dazu gab es in den USA Juni 2012 gerade einen kleinen Rückschlag: US-Behörden dulden schnüffelnde Browser. Microsoft wollte bei den allerneusten Browserversionen die Grundeinstellung auf "Do not Track" stellen. Die eigentlich ganz vernünftige Regulierungsbehörde FTC hat dies nicht erlaubt, dies wäre eine Bevormundung der Bürger. Aber aus grundsätzlichen Gründen sollte jeder der sich über diese Sachen Sorgen macht, das entsprechende Häkchen setzen (Im Firefox: Werkzeuge / Optionen / Datenschutz - gleich der erste Haken).

Sommer 2012 gibt es großen Streit, weil Microsoft Do Not Track als Default voreinstellen will. Dagegen hat die Werbeindustrie hart oponiert. Microsoft will hart bleiben: Internet Explorer 10 behält "Do Not Track" bei.

Herbst 2012 zeigt sich, dass die an sich gute Idee das Do-not-Track zum Default zu machen, diese Feature vermutlich "killt". Denn die Werbe-Industrie sagt, dass das ihr Ende sei und dass sie daher diese Einstellung ignorieren werden. Denn diese Einstellung verhindert das Tracking nicht, sondern sie kommuniziert lediglich, dass der Benutzer darum bittet, nicht getrackt zu werden. D.h. die Tracker müssen aktiv dafür programmiert werden, diese Einstellung zu honorieren, ansonsten wird dieser Wunsch eben einfach ignoriert.

Blocking Tools

Bei Aktivierung eines Blockers für diese URLs wird der Rechner dann nicht mehr mit ihr kommunizieren - was unter Umständen auch die Funktionalität einschränkt, aber es findet von dieser URL aus auch sicher kein Tracking mehr statt. Ein Problem, das bei der Benutzbarkeitsstudie aufgezeigt wurde ist, dass die Benutzer unter Umständen einzelne URLs von der Sperre ausnehmen müssen, sonst klappen manchmal so Sachen wie Einladen anderer zu Social Networks oder zu Spielen in Social Networks nicht mehr, wenn diese Einladungen über gesperrte URLs abgewickelt werden.

Die beiden wichtigsten sind vermutlich (Nov. 2011) Ghostery und Adblock Plus (ADP). Beide Programme müssen vom Benutzer konfiguriert werden, damit sie ihre Funktion erfüllen.

Vergleich einiger Anti-Tracking Tools (Quelle: techrepublic.com)

Ghostery zeigt dem Nutzer, welche Tracking-Firma sich da für in interessiert und erlaubt dann ein gezieltes Sperren dieser Aktivitäten. D.h. der Nutzer sieht, wer ihn tracken will und kann diese einzeln sperren. Werbung wird aber immer noch gezeigt.

Adblock Plus (ADP) blockiert, wie der Name sagt, zusätzlich auch noch Werbung. Das bringt ein ganz neues Internet-Erlebnis, fast alle Websites sind dann ohne Werbung, z.B. auch Facebook. Der Benutzer kann eine oder mehrere Filterlisten aktivieren damit ADP seine Arbeit aufnimmt. Auch hier kann der Benutzer sich anzeigen lassen, wer ihn tracken will. Adblock Plus als Plugin im Firefox ist das Tool, das ich selbst mit großem Erfolg nutze.

Ein anderes Tool ist Do Not Track Plus.

Unabhängig davon sollte jeder, der sich nicht tracken lassen will, Third-Party Cookies verbieten. Dies geht in jedem Browser (unterschiedlich leicht, ist zum Teil in Advanced Settings verborgen) und ist eigentlich fast immer ohne Nebenwirkung. Es bringt aber nicht sehr viel, wie ich weiter oben bereits erklärt hatte.

Ich verwende zusätzlich noch einen hosts file der die IP-Adressen aller Werbefirmen und Tracker sperrt (hier mehr Infos dazu) - (Dieser Trick ist aber nichts für PC-Laien, man sollte wissen, was man da tut sonst kann es überraschende Nebenwirkungen geben - so muss man z.B. den DNS-Service anders konfigurieren).

Private Browsing / InPrivate Browsing

Diese Tricks verhindern aber natürlich nicht, dass einzelne Websites die sie besuchen, wie z.B. Amazon, ein Profil über sie anlegt.

Das WSJ hat eine Anleitung zur Kontrolle der Privatsphäre für Internet Explorer, Firefox, Chrome Safari und für Flash Cookies zusammengestellt.

Aktualisierung Mai 2012:
Eine Autorin hat in der NY Times zusammengestellt, welche Möglichkeiten jemand hat, seine Spuren im Internet zu verschleiern: How to Muddy Your Tracks on the Internet. Sie erwähnt dabei einen wichtigen zusätzlichen Punkt: Nehmen Sie für jeden Dienst einen anderen Anbieter!

Wer seine Suchanfragen bei Google platziert, der sollte seine Emails an anderer Stelle verarbeiten lassen und auch nicht noch zusätzlich Google+ benutzen. Hotmail-Nutzer hinterlassen bei Microsoft viele Informationen über sich selbst und wenn sie dan auch noch die Xbox und Bing verwenden, dann fließen noch mehr Informationen zusammen.

Weiterführende Informationen

Das Thema ist Teil der größeren Problematik Schutz der Privatsphäre, die an anderer Stelle ausführlich diskutiert wird. Ebenso das Spezialthema . Weitere Information auch in der Wikipedia unter Anonymität im Internet.

Hier ist eine sehr interessante, umfangreiche Studie der Firma Xamit. Sie haben untersucht, welche Tracking-Technologien Website-Betreiber einsetzen und ob sie ihre Kunden darüber informieren (PDF, 1,5 MB). Die kurze Antwort: jede Menge Tracking und in der Regel heimlich, d.h. sehr oft lügen die Firmen dann in ihrer Vertraulichkeitserklärung - Stichwort, bei uns werden keine Cookies und keine JavaScript verwendet. Zumeist wird dabei Google Analytics eingesetzt, das sehr wohl beides einsetzt und die Daten in die USA exportiert. Dazu hat sich auch die EU-Datenschutzarbeitsgruppe geäußert.

Philipp Schaumann, http://sicherheitskultur.at/

Home

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann.
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.